INCIBE va publicar l'octubre de 2025 un article tecnic sobre DevSecOps. El que mes crida l'atencio no es el contingut tecnic, que es solid, es el context: una institucio publica dedicada a la ciberseguretat a Espanya esta dient explicitament que la seguretat s'ha d'integrar des del codi, no afegir-se aposta.
Si INCIBE ho diu, es perque el problema es generalitzat.
La seguretat al final del desenvolupament costa 6 vegades mes
La dada classica de NIST: corregir una vulnerabilitat en produccio costa fins a 30 vegades mes que corregir-la a la fase de disseny. I fins a 6 vegades mes que corregir-la durant el desenvolupament.
Les empreses que afegeixen seguretat com a fase final del cicle paguen aquest sobrecost a cada release. Cada nova funcionalitat que surt sense revisio de seguretat acumula deute tecnic que, tard o d'hora, cal pagar. I quant mes tard, mes car.
No es una qüestio de pressupost. Es una qüestio d'on ho inverteixes.
Que es DevSecOps (sense jerga enterprise)
DevSecOps no es una eina ni un producte. Es un enfocament on la seguretat s'integra en cada fase del desenvolupament.
Aixo implica diverses practiques concretes:
- Analisi estatic de codi (SAST): revisa el codi font cercant patrons vulnerables abans no arribi a produccio.
- Analisi de dependencies (SCA): detecta llibreries de tercers amb vulnerabilitats conegudes.
- Proves de seguretat automatitzades (DAST): simulen atacs contra l'aplicacio en execucio.
- Revisio de configuracions: verifica que servidors, contenidors i serveis cloud estan configurats de forma segura.
- Gestio de secrets: assegurar-se que claus API, contrasenyes i certificats no estan hardcoded ni exposats en repositoris.
No es tracta de tenir un equip de seguretat gegant. Es tracta que cada decisio de desenvolupament tingui en compte la seguretat com un requisit mes, no com un afterthought.
Les pimes tambe escriuen codi vulnerable
Les pimes pensen "jo no desenvolupo software, aixo no va amb mi". Pero usen APIs de tercers, tenen formularis web, integren passeres de pagament, usen plugins de WordPress i connecten serveis cloud.
Cada integracio es una superficie d'atac.
Per reflexionar: No necessites desenvolupar un sistema operatiu per necessitar DevSecOps. Necessites tenir dades que protegir i codi, teu o de tercers, que les processa. Si la teva empresa te una web, una API o un formulari de contacte, tens codi exposat.
Les filtracions de seguretat mes sonades dels ultims anys no van venir de software complex desenvolupat internament. Van venir d'una dependencia desactualitzada, un plugin sense apedaçar, una API mal configurada. Coses que qualsevol empresa, sigui de la mida que sigui, te.
ISO 27001 ja exigeix seguretat en el cicle de vida del software
El control A.8.25 de la ISO 27001 (desenvolupament segur) exigeix que les organitzacions estableixin regles per al desenvolupament segur de software. El control A.8.26 exigeix proves de seguretat durant el desenvolupament. El control A.8.28 demana codificacio segura.
DevSecOps no es una moda: es la forma operativa de complir els controls de seguretat en el desenvolupament que la ISO 27001 ja exigeix.
Si la teva empresa esta certifican-se o planeja certificar-se en ISO 27001, necessites DevSecOps. No com una iniciativa separada, sino com a part del sistema de gestio de la seguretat de la informacio que la norma et demana implantar.
El que veiem en auditoria: Els controls de la ISO 27001 on mes empreses fallen son els de desenvolupament segur. No perque siguin tecnicament complexos, sino perque separen el desenvolupament de la seguretat en departaments distints que no es parlen. Quan l'equip de desenvolupament i l'equip de seguretat no comparteixen eines, processos ni criteris, el compliment d'aquests controls es pràcticament impossible.
Com comencar sense refer-ho tot
No cal refer-ho tot. Tres passos concrets poden marcar la diferencia:
Eines com SonarQube, Snyk o Semgrep s'integren al CI/CD i detecten vulnerabilitats abans del merge. No substitueixen la revisio humana, pero automatitzen la deteccio de patrons coneguts. Es la inversio amb major retorn immediat.
La majoria de filtracions recents venen de llibreries de tercers, no del codi propi. Un escaneig de dependencies et diu quines de les llibreries que uses tenen vulnerabilitats conegudes i quines estan desactualitzades. Es configura en hores i et pot estalviar un incident que costa desenes de milers d'euros.
No necessiten ser experts en ciberseguretat. Necessiten conixer els patrons de vulnerabilitat mes comuns (OWASP Top 10) i com evitar-los. Un equip de desenvolupament que sap que es una injeccio SQL, un cross-site scripting o una gestio inadequada de sessions comet menys errors i els detecta abans.
Aquests tres passos no requereixen reestructurar res. S'afegeixen al fluxe de treball que ja tens. I si la teva empresa esta en proces de certificacio ISO 27001, demostren maduresa davant l'auditor en els controls de desenvolupament segur.
Avaluacio de seguretat al teu desenvolupament
Si necessites integrar seguretat al teu cicle de desenvolupament o estas preparant la certificacio ISO 27001, fem una primera analisi del teu pipeline i la teva superficie d'atac. Sense compromis.
Parlar amb un expertEl teu equip necessita formacio en IA segura
L'EU AI Act exigeix alfabetitzacio IA per a tota la plantilla des d'agost 2026. Els nostres cursos cobreixen compliance, agents IA i governanca. FUNDAE pot subvencionar el 100% del cost.
