Lecciones que podemos aprender de la administración de bases de datos al pasar a DevOps

La idea de que la seguridad pueda tener éxito mientras es "propiedad" de los equipos de ingeniería suele percibirse como un anatema para la infoseguridad. Pero ha ocurrido en otras áreas problemáticas complicadas, como la administración de bases de datos (DBA).

DBA se ha desplazado hacia el modelo "DevOps" (y, no, no se llama DevDBOps). Sin adoptar los principios DevOps, tanto la velocidad como la calidad se resienten debido a:

• Desajuste entre responsabilidad y autoridad

• Personal de operaciones de bases de datos sobrecargado

• Ruptura de los circuitos de retroalimentación de la producción

• Reducción de la productividad de los desarrolladores

¿Te suena? Al igual que el DBA, los programas de seguridad se sitúan tradicionalmente en un equipo central específico, separado de los equipos de ingeniería, y a menudo están reñidos con el trabajo de desarrollo. ¿Qué más podemos aprender sobre la aplicación de DevOps a DBA?

• Los desarrolladores son dueños del esquema de la base de datos, la carga de trabajo y el rendimiento.

• Los desarrolladores depuran, solucionan problemas y reparan sus propias averías.

• Esquema y modelo de datos como código.

• Existe un único canal de implementación totalmente automatizado.

• La implementación de aplicaciones incluye migraciones automatizadas de esquemas.

• Actualizaciones automatizadas de preproducción desde producción.

• Existe automatización de las operaciones de la base de datos.

Estos atributos ejemplifican un paradigma descentralizado para el trabajo de base de datos. No hay un único equipo que "posea" el trabajo o la experiencia en bases de datos. Cuando algo va mal en una parte concreta del sistema, el equipo de ingeniería responsable de esa parte del sistema también es responsable de averiguar qué está fallando y solucionarlo. Los equipos aprovechan la automatización para el trabajo de base de datos, reduciendo la barrera de entrada y aligerando la carga cognitiva de los desarrolladores, lo que disminuye la necesidad desesperada de una profunda experiencia en bases de datos. Resulta que gran parte de la experiencia necesaria está envuelta en el trabajo duro; elimina las tareas manuales y tediosas y todo será más fácil para todos.

Merece la pena señalar que, en esta transformación, el trabajo y la complejidad no han desaparecido realmente (al menos, en su mayor parte); sólo se han automatizado en gran medida y se han ocultado tras las barreras de abstracción que ofrecen los proveedores de nube y SaaS. Y la mayor objeción a esta transformación -que arruinaría el rendimiento o dificultaría las operaciones- se ha demostrado (en su mayor parte) falsa. La mayoría de las organizaciones simplemente nunca se encuentran con problemas que pongan de manifiesto las limitaciones de este enfoque.

Como señala el ingeniero de datos y software Alex Rasmussen, ésta es la misma razón por la que SQL sobre almacenes en la nube ha sustituido en gran medida a los trabajos personalizados de Spark. Algunas organizaciones necesitan la potencia y flexibilidad que otorga Spark y están dispuestas a invertir el esfuerzo necesario para que tenga éxito. Pero la gran mayoría de las organizaciones sólo quieren agregar algunos datos estructurados y realizar algunas uniones. En este momento, hemos adquirido colectivamente una comprensión suficiente de este modo "común", por lo que nuestras soluciones dirigidas a este modo común son bastante sólidas. Siempre habrá casos atípicos, pero tu organización probablemente no sea uno de ellos.

También hay paralelismos con esta dinámica en la seguridad. ¿Cuánta gente hace su propio procesamiento de pagos en un mundo en el que abundan las plataformas de procesamiento de pagos? ¿Cuánta gente hace su propia autenticación cuando hay proveedores de plataformas de gestión de identidades? Esto también refleja el principio de "elegir lo aburrido" que tratamos en el último capítulo y que trataremos más adelante en este capítulo en el contexto de la construcción y la entrega. Debemos suponer que nuestro problema es aburrido a menos que se demuestre lo contrario.

Si adaptamos los atributos del DBA a la transformación DevOps para la seguridad, podrían ser algo así:

• Los desarrolladores son dueños de los patrones de seguridad, la carga de trabajo y el rendimiento.

• Los desarrolladores depuran, solucionan y reparan sus propias incidencias.

• Políticas y normas de seguridad como código.

• Existe un único canal de implementación totalmente automatizado.

• La implementación de la aplicación incluye cambios automatizados en la configuración de seguridad.

• Actualizaciones automatizadas de preproducción desde producción.

• Automatización de las operaciones de seguridad.

No puedes lograr estos atributos a través de un equipo de seguridad que los gobierne a todos. La única forma de lograr esta alineación de responsabilidad y rendición de cuentas es descentralizando el trabajo de seguridad. Los programas de Campeones de la Seguridad representan una forma de empezar a descentralizar los programas de seguridad; las organizaciones que experimentaron con este modelo (como Twilio, cuyo estudio de caso sobre su programa se encuentra en el informe anterior de la SCE) están informando de resultados satisfactorios y de un ambiente de mayor colaboración entre la seguridad y la ingeniería de software. Pero los programas de Campeones de Seguridad son sólo un puente. Necesitamos un equipo dedicado a hacer posible la descentralización, por lo que dedicaremos todo el Capítulo 7 a la Ingeniería de Resiliencia de Plataformas.

¿Qué prácticas fomentan la resiliencia cuando se construye y entrega software? Ahora veremos qué prácticas fomentan cada ingrediente de nuestra poción de resiliencia.

Definición de objetivos del sistema y directrices sobre "qué tirar por la esclusa"

Una práctica para apoyar la funcionalidad crítica durante esta fase es lo que llamamos el "enfoque de la esclusa": siempre que estemos construyendo y entregando software, tenemos que definir lo que podemos "tirar por la esclusa". ¿Qué funcionalidades y componentes puedes descuidar temporalmente y que el sistema siga realizando sus funciones críticas? ¿Qué te gustaría poder desatender durante un incidente? Sea cual sea tu respuesta, asegúrate de que construyes el software de forma que puedas desatender esas cosas cuando sea necesario. Esto se aplica tanto a los incidentes de seguridad como a los de rendimiento; si un componente se ve comprometido, el enfoque de la esclusa te permite desconectarlo si no es crítico.

Por ejemplo, si el procesamiento de transacciones es la función crítica de tu sistema y la elaboración de informes no lo es, debes construir el sistema de modo que puedas tirar los informes "por la esclusa" para preservar recursos para el resto del sistema. Es posible que la presentación de informes sea extremadamente lucrativa -tu impresora de dinero más prolífica- y, sin embargo, como la puntualidad de la presentación de informes importa menos, aún puede sacrificarse. Es decir, para mantener la seguridad del sistema y la exactitud de los informes, sacrificas el servicio de informes durante un escenario adverso -aun siendo el servicio más valioso- porque su funcionalidad crítica aún puede mantenerse con un retraso.

Otra ventaja de definir las funciones críticas con la mayor precisión posible es que podemos limitar el tamaño de los lotes, una dimensión importante de nuestra capacidad para razonar sobre lo que estamos construyendo y entregando. Garantizar que los equipos puedan seguir el flujo de datos en un programa de su competencia ayuda a evitar que los modelos mentales se alejen demasiado de la realidad.

Este enfoque despiadado en la funcionalidad crítica puede aplicarse también a niveles más locales. Como comentamos en el último capítulo, tender hacia componentes de propósito único infunde más linealidad al sistema, y nos ayuda a comprender mejor la función de cada componente. Si la función crítica de nuestro código sigue siendo elusiva, ¿para qué lo escribimos?

Revisiones del código y modelos mentales

Las revisiones del código nos ayudan a verificar que la implementación de nuestra funcionalidad crítica (y no crítica también) se ajusta a nuestros modelos mentales. Las revisiones del código, en el mejor de los casos, implican que un modelo mental proporciona información sobre otro modelo mental. Cuando reificamos un diseño a través del código, estamos instanciando nuestro modelo mental. Cuando revisamos el código de otra persona, construimos un modelo mental del código y lo comparamos con nuestro modelo mental de la intención, proporcionando retroalimentación sobre cualquier cosa que se desvíe (u oportunidades para refinarlo).

En los flujos de trabajo modernos de desarrollo de software, las revisiones del código de suelen realizarse tras el envío de una solicitud pull (PR). Cuando un desarrollador cambia el código localmente y quiere fusionarlo con la base de código principal (conocida como "rama principal"), abre un PR que notifica a otro humano que esos cambios -denominados "commits"- están listos para ser revisados. En un modelo de integración continua y despliegue/entrega continuos (CI/CD), todos los pasos de las pull requests, incluida la fusión de los cambios en la rama principal, están automatizados, excepto la revisión del código.

En relación con el modelo de cambio iterativo que discutiremos más adelante en el capítulo, también queremos que nuestras revisiones de código sean pequeñas y rápidas. Cuando se envía el código, el desarrollador debe recibir comentarios pronto y con rapidez. Para garantizar que el revisor pueda ser rápido en su revisión, los cambios deben ser pequeños. Si a un revisor se le asigna un RP que incluye muchos cambios a la vez, puede haber un incentivo para hacer recortes. Pueden limitarse a hojear el código, comentar "lgtm" (a mí me parece bien), y pasar al trabajo que perciben como más valioso (como escribir su propio código). Al fin y al cabo, no obtendrán una bonificación ni ascenderán por hacer revisiones de código concienzudas; es mucho más probable que reciban recompensas por escribir código que aporte cambios valiosos a la producción.

A veces, las funciones críticas se pasan por alto durante la revisión del código porque nuestros modelos mentales, como comentamos en el último capítulo, son incompletos. Como descubrió un estudio, "la lógica de gestión de errores a menudo es simplemente errónea", y una simple comprobación de la misma evitaría muchos fallos críticos de producción en los sistemas distribuidos.³ También necesitamos revisiones de código para las pruebas, en las que otras personas validen las pruebas que escribimos.

¿Cómo incentivamos las revisiones de código concienzudas? Hay algunas cosas que podemos hacer para disuadir de tomar atajos, empezando por asegurarnos de que las herramientas se encargan de todos los detalles. Los ingenieros nunca deberían tener que señalar problemas de formato o espacios finales; cualquier problema de estilo debería comprobarse automáticamente. Garantizar que las herramientas automatizadas se encarguen de este tipo de trabajo sucio y quisquilloso permite a los ingenieros centrarse en actividades de mayor valor que pueden fomentar la resistencia.

La tecnología "aburrida" es una tecnología resistente

Otra práctica que puede ayudarnos a refinar nuestras funciones críticas y priorizar el mantenimiento de su resistencia a los ataques es elegir tecnología "aburrida". Como se expone en el famoso post del ejecutivo de ingeniería Dan McKinley, "Elige tecnología aburrida", lo aburrido no es intrínsecamente malo. De hecho, lo aburrido probablemente indica capacidades bien comprendidas, lo que nos ayuda a manejar la complejidad y reducir la preponderancia de "interacciones desconcertantes" en nuestros sistemas (tanto el sistema como nuestros modelos mentales se vuelven más lineales).

En cambio, la tecnología nueva y "sexy" se comprende menos y es más probable que provoque sorpresas y desconciertos. El perímetro sangrante es un nombre apropiado dado el dolor que puede infligir cuando se implementa: al principio puede parecer sólo una herida superficial, pero a la larga puede drenar tu energía cognitiva y la de tus equipos. En efecto, estás añadiendo tanto un acoplamiento más estrecho como complejidad interactiva (linealidad decreciente). Si recuerdas el último capítulo, elegir "aburrido" nos proporciona una comprensión más amplia, que requiere menos conocimientos especializados -una característica de los sistemas lineales-, al tiempo que fomenta un acoplamiento más suelto de diversas maneras.

Por tanto, cuando recibas un diseño bien pensado (¡como uno basado en las enseñanzas del Capítulo 3!), considera si las elecciones de codificación, construcción y entrega que haces están añadiendo complejidad adicional y un mayor potencial de sorpresas, y si te estás vinculando estrechamente a ti mismo o a tu organización a esas elecciones. Los ingenieros de software deberían elegir el software -lenguajes, marcos, herramientas, etc.- que mejor resuelva los problemas empresariales específicos. Al usuario final realmente no le importa que hayas utilizado la última y mejor herramienta que se promociona en HackerNews. El usuario final quiere utilizar tu servicio cuando quiera, tan rápido como quiera y con la funcionalidad que quiera. A veces, resolver esos problemas empresariales requerirá una tecnología nueva y extravagante si te concede una ventaja sobre tus competidores (o si cumple de algún otro modo la misión de tu organización). Aun así, ten cuidado con la frecuencia con que buscas tecnología "no aburrida" para diferenciarte, pues el perímetro sangrante requiere muchos sacrificios de sangre para mantenerse.

Durante la fase de construcción y entrega, debemos tener cuidado con cómo priorizamos nuestros esfuerzos cognitivos, además de cómo gastamos los recursos de forma más general. Puedes gastar tus recursos finitos en una nueva herramienta muy ingeniosa que utilice IA para escribir pruebas unitarias por ti. O puedes gastarlos en crear una funcionalidad compleja que resuelva mejor un problema para los usuarios finales a los que te diriges. Lo primero no sirve directamente a tu negocio ni te diferencia; añade una importante sobrecarga cognitiva que no sirve a tus objetivos colectivos a cambio de un beneficio incierto (que sólo llegaría tras un doloroso proceso de ajuste y tirarse de los pelos a partir de unos documentos mínimos de resolución de problemas).

"Vale", dirás, "¿pero y si la cosa nueva y brillante es realmente genial?". ¿Sabes a quién más le gusta el software realmente guay, nuevo y brillante? A los atacantes. Les encanta que los desarrolladores adopten nuevas herramientas y tecnologías que aún no se conocen bien, porque eso crea muchas oportunidades para que los atacantes se aprovechen de los errores o incluso de la funcionalidad prevista que no se ha comprobado suficientemente contra el abuso. Los investigadores de vulnerabilidades también tienen currículos, y parecen impresionantes cuando pueden demostrar la explotación contra la cosa nueva y reluciente (lo que normalmente se conoce como "poseer" la cosa). Una vez que publican los detalles de cómo explotaron la nueva cosa brillante, los atacantes criminales pueden averiguar cómo convertirlo en un ataque repetible y escalable (completando el Fun-to-Profit Pipeline de la infoseguridad ofensiva).

Herramientas de seguridad y observabilidad tampoco están exentas de este principio de "elige lo aburrido". Independientemente de tu título "oficial" -y de si eres líder, gestor o colaborador individual-, debes elegir y fomentar herramientas de seguridad y observabilidad sencillas y bien comprendidas que se adopten en todos tus sistemas de forma coherente. A los atacantes les encanta encontrar implementaciones "especiales" de herramientas de seguridad u observabilidad y se enorgullecen de derrotar a las nuevas y relucientes mitigaciones que se jactan de derrotar a los atacantes de una forma u otra.

Muchas herramientas de seguridad y observabilidad requieren permisos especiales (como ejecutarse como root, administrador o administrador de dominio) y un amplio acceso a otros sistemas para realizar su supuesta función, lo que las convierte en herramientas fantásticas para que los atacantes obtengan un acceso profundo y potente a través de tus sistemas críticos (porque esos son los que especialmente quieres proteger y monitorizar). Una nueva y reluciente herramienta de seguridad puede decir que las matemáticas de fantasía resolverán todos tus problemas de ataque, pero esta fantasía es lo contrario de aburrida y puede engendrar una variedad de dolores de cabeza, incluyendo el tiempo necesario para ponerla a punto de forma continua, cuellos de botella en la red debido al acaparamiento de datos, pánicos en el kernel o, por supuesto, una vulnerabilidad en ella (o en su colección de fantasía y en sus canales impulsados por la IA, de empuje de reglas) que puede ofrecer a los atacantes un punto de apoyo encantador en todos los sistemas que te importan.

Por ejemplo, puedes tener la tentación de "hacer tu propia" autenticación o protección contra falsificación de petición en sitios cruzados (XSRF). Fuera de los casos de perímetro en los que la autenticación o la protección XSRF forman parte del valor que tu servicio ofrece a tus clientes, tiene mucho más sentido "elegir lo aburrido" implementando middleware para la autenticación o la protección XSRF. De ese modo, aprovechas la experiencia del proveedor en esta área "exótica".

La cuestión es que, si optimizas las herramientas "menos malas" para el mayor número posible de tus problemas no diferenciadores, entonces será más fácil mantener y hacer funcionar el sistema y, por tanto, mantenerlo seguro. Si optimizas para conseguir la mejor herramienta para cada problema individual, o Regla de Cool, entonces los atacantes explotarán gustosamente tu sobrecarga cognitiva resultante y la asignación insuficiente de monedas de complejidad en cosas que ayuden al sistema a ser más resistente a los ataques. Por supuesto, seguir con algo aburrido que es ineficaz tampoco tiene sentido y también erosionará la resiliencia con el tiempo. Queremos aspirar al punto óptimo de aburrido y eficaz.

Normalización de las materias primas

La última práctica que trataremos en el ámbito de la funcionalidad crítica es la normalización de las "materias primas" que utilizamos cuando construimos y entregamos software, o cuando recomendamos prácticas a los equipos de ingeniería de software. Como comentamos en el último capítulo, podemos pensar en las "materias primas" de los sistemas de software como lenguajes, bibliotecas y herramientas (esto también se aplica al firmware y a otras materias primas que se utilizan en el hardware de los ordenadores, como las CPU y las GPU). Estas materias primas son elementos entretejidos en el software que deben ser resistentes y seguros para el funcionamiento del sistema.

Cuando construimos servicios de software, debemos ser decididos con los lenguajes, bibliotecas, marcos, servicios y fuentes de datos que elegimos, ya que el servicio heredará algunas de las propiedades de estas materias primas. Muchos de estos materiales pueden tener propiedades peligrosas, inadecuadas para construir un sistema según tus requisitos. O puede que el peligro sea esperado y, como no hay una alternativa mejor para tu dominio del problema, tendrás que aprender a vivir con él o pensar en otras formas de reducir los peligros mediante el diseño (de lo que hablaremos más en el Capítulo 7). En general, elegir más de una materia prima en cualquier categoría significa que obtienes los inconvenientes de ambas.

La Agencia de Seguridad Nacional (NSA) recomienda oficialmente utilizar lenguajes seguros en memoria siempre que sea posible, como C#, Go, Java, Ruby, Rust y Swift. El CTO de Microsoft Azure, Mark Russovovich, tuiteó de forma más contundente: "Hablando de lenguajes, es hora de dejar de iniciar cualquier proyecto nuevo en C/C++ y utilizar Rust para aquellos escenarios en los que se requiera un lenguaje que no sea CGC. Por el bien de la seguridad y la fiabilidad, la industria debería declarar esos lenguajes como obsoletos". Los problemas de seguridad de la memoria perjudican tanto al usuario como al fabricante de un producto o servicio, porque los datos que no deberían cambiar pueden convertirse mágicamente en un valor diferente. Como Matt Miller, ingeniero de software de seguridad asociado de Microsoft, presentó en 2019, el ~70% de las vulnerabilidades corregidas con un CVE asignado son vulnerabilidades de seguridad de memoria debidas a que los ingenieros de software introducen por error errores de seguridad de memoria en su código C y C++.

Cuando construyas o refactorices software, deberías elegir uno de las docenas de lenguajes populares que son seguros para la memoria por defecto. La inseguridad de la memoria es muy impopular en el diseño de lenguajes, lo cual es estupendo para nosotros, ya que tenemos una cornucopia de opciones seguras para la memoria de las que podemos escoger. Incluso podemos pensar en el código C como si fuera plomo; era muy conveniente para muchos casos de uso, pero nos está envenenando con el tiempo, sobre todo a medida que se acumula más .

Idealmente, queremos adoptar materias primas menos peligrosas tan rápidamente como podamos, pero esta búsqueda a menudo no es trivial (como migrar de un lenguaje a otro). Las reescrituras completas pueden funcionar para sistemas más pequeños que tengan pruebas de integración, de extremo a extremo (E2E) y funcionales relativamente completas, pero esas condiciones no siempre serán ciertas. El patrón de la higa estranguladora, del que hablaremos al final del capítulo, es el enfoque más obvio para ayudarnos a cambiar iterativamente nuestra base de código.

Otra opción es elegir un lenguaje que se integre bien con C y hacer de tu aplicación una aplicación políglota, eligiendo cuidadosamente qué partes escribir en cada lenguaje. Este enfoque es más granular que el patrón de la higuera estranguladora y es similar al proyecto Oxidation, el enfoque de Mozilla para integrar código Rust en y alrededor de Firefox (que merece la pena explorar para obtener orientación sobre cómo migrar de C a Rust, en caso de que lo necesites). Algunos sistemas pueden incluso permanecer en este estado indefinidamente si hay ventajas en tener simultáneamente lenguajes de alto y bajo nivel en el mismo programa. Los juegos son un ejemplo común de esta dinámica: el código del motor necesita ser rápido para controlar la disposición de la memoria, pero el código del juego necesita ser rápido para iterar y el rendimiento importa mucho menos. Pero, en general, los servicios y programas políglotas son poco frecuentes, lo que hace que la normalización de algunos materiales sea algo más sencilla.

Los equipos de seguridad que deseen impulsar la adopción de la seguridad de la memoria deben asociarse con los humanos de tu organización que intentan impulsar las normas de ingeniería -ya sean prácticas, herramientas o marcos- y participar en ese proceso. En igualdad de condiciones, mantener la coherencia es significativamente mejor para la resiliencia. Los humanos que buscas están dentro de la organización de ingeniería, haciendo las conexiones y abogando por la adopción de estas normas.

Por otro lado, estos humanos tienen sus propios objetivos: construir de forma productiva más software y los sistemas que desea la empresa. Si tus peticiones son insensibles, te ignorarán. Así que no pidas cosas como desconectar los portátiles de los desarrolladores de Internet por motivos de seguridad. Sin embargo, hacer hincapié en las ventajas para la seguridad de refactorizar el código C en un lenguaje seguro para la memoria será más constructivo, ya que probablemente también encaje con sus objetivos, puesto que la productividad y los peligros operativos se cuelan notoriamente en C. La seguridad puede tener un terreno común sustancial con ese grupo de humanos sobre C, ya que ellos también quieren deshacerse de él (excepto por el humano ocasional que insiste en que todos deberíamos escribir en ensamblador y leer el manual de instrucciones de Intel).

Las cachés son un ejemplo de materia prima peligrosa que a menudo se considera necesaria. Al almacenar datos en caché en nombre de un servicio, nuestro objetivo es reducir el volumen de tráfico hacia el servicio. Se considera un éxito tener un alto índice de aciertos de caché (CHR), y a menudo es más rentable escalar las cachés que escalar el servicio que hay detrás de ellas. Las cachés pueden ser la única forma de cumplir tus objetivos de rendimiento y coste, pero algunas de sus propiedades ponen en peligro la capacidad del sistema para mantener la resiliencia.

Existen dos peligros con respecto a la resiliencia. El primero es mundano: cada vez que cambian los datos, hay que invalidar las cachés o, de lo contrario, los datos parecerán obsoletos. La invalidación puede dar lugar a un comportamiento general del sistema peculiar o incorrecto -esas interacciones "desconcertantes" de la Zona de Peligro- si el sistema depende de datos coherentes. Si la coordinación no es correcta, los datos obsoletos pueden pudrirse en la caché indefinidamente.

El segundo peligro es un efecto sistémico en el que si las cachés fallan o se degradan alguna vez, ejercen presión sobre el servicio. Con CHRs altos, incluso un fallo parcial de la caché puede inundar un servicio backend. Si el servicio backend está caído, no puede llenar las entradas de la caché, y esto provoca que más tráfico bombardee el servicio backend. Los servicios sin caché se ralentizan, pero se recuperan con elegancia a medida que se añade más capacidad o disminuye el tráfico. Los servicios con caché se colapsan cuando se acercan a su capacidad y la recuperación suele requerir una capacidad adicional sustancial más allá del estado estacionario.

Sin embargo, incluso con estos peligros, las cachés tienen matices desde el punto de vista de la resiliencia. Benefician a la resiliencia porque pueden desacoplar las peticiones del origen (es decir, del servidor backend); el servicio soporta mejor las sorpresas, pero no necesariamente los fallos sostenidos. Mientras que los clientes están ahora menos estrechamente acoplados al comportamiento de nuestro origen, en su lugar pasan a estar estrechamente acoplados a la caché. Este acoplamiento estrecho garantiza una mayor eficacia y una reducción de costes, razón por la que se practica ampliamente el almacenamiento en caché. Pero, por las razones de resiliencia que acabamos de mencionar, pocas organizaciones "ruedan sus propias cachés". Por ejemplo, suelen subcontratar el almacenamiento en caché del tráfico web a un proveedor especializado, como una red de distribución de contenidos (CDN).

Para recapitular, durante esta fase, podemos seguir cuatro prácticas para apoyar la funcionalidad crítica, el primer ingrediente de nuestra poción de resiliencia: el enfoque de la esclusa de aire, las revisiones meditadas del código, la elección de tecnología "aburrida" y la estandarización de las materias primas. Ahora, pasemos al segundo ingrediente: comprender los límites (umbrales) de seguridad del sistema .

Anticipar la escala y los SLO

La primera práctica de esta fase que puede ayudarnos a ampliar nuestros límites de seguridad es, sencillamente, anticipar la escala. Al construir sistemas de software resistentes, queremos considerar cómo pueden evolucionar las condiciones de funcionamiento y, por tanto, dónde están sus límites de funcionamiento seguro. A pesar de las mejores intenciones, los ingenieros de software a veces toman decisiones de arquitectura o implementación que inducen cuellos de botella de fiabilidad o escalabilidad.

Anticiparse a la escala es otra forma de desafiar esas suposiciones de "esto siempre será así" que describimos en el último capítulo, las que los atacantes explotan en sus operaciones. Piensa en un servicio de comercio electrónico. Podemos pensar: "En cada solicitud entrante, primero tenemos que correlacionar esa solicitud con la cesta de la compra anterior del usuario, lo que significa hacer una consulta a esta otra cosa". Hay una suposición de que "esto siempre será cierto" en este modelo mental: que la "otra cosa" siempre estará ahí. Si somos reflexivos, debemos cuestionarnos: "¿Y si esta otra cosa no está ahí? ¿Qué ocurriría entonces? Esto puede entonces refinar la forma en que construimos algo (y debemos documentar el por qué -lasuposición que hemos cuestionado-, como veremos más adelante en este capítulo). ¿Qué ocurre si la recuperación del carrito del usuario tarda en cargarse o no está disponible?

Cuestionar nuestras suposiciones de "esto siempre será así" también puede poner al descubierto posibles problemas de escalabilidad a niveles inferiores. Si decimos "siempre empezaremos con un gráfico de flujo de control, que es la salida de un análisis anterior", podemos cuestionarlo con una pregunta como "¿y si ese análisis es superlento o falla?". Invertir capital de esfuerzo en anticipar la escala puede garantizar que no constriñamos artificialmente los límites de seguridad de nuestro sistema, y que los umbrales potenciales se plieguen en nuestros modelos mentales del sistema.

Cuando construimos componentes que funcionarán como parte de sistemas grandes y distribuidos, parte de anticipar la escala consiste en prever lo que necesitarán los operadores durante los incidentes (es decir, qué inversiones de esfuerzo tienen que hacer). Si un ingeniero de guardia tarda horas en descubrir que el motivo de la repentina lentitud del servicio es una base de datos SQLite que nadie conocía, perjudicará a tus objetivos de rendimiento. También tenemos que prever cómo crecerá el negocio, como estimar el crecimiento del tráfico basándonos en hojas de ruta y planes de negocio, para prepararnos para ello. Cuando estimamos qué partes del sistema necesitaremos ampliar en el futuro y cuáles es improbable que necesiten ampliación, podemos ser ahorradores con nuestras inversiones de esfuerzo, al tiempo que garantizamos que el negocio pueda crecer sin impedimentos por las limitaciones del software.

Deberíamos ser cuidadosos a la hora de dar soporte a los patrones que discutimos en el último capítulo. Si diseñamos para la inmutabilidad y la efimeridad, esto significa que los ingenieros no pueden acceder por SSH al sistema para depurar o cambiar algo, y que la carga de trabajo se puede matar y reiniciar a voluntad. ¿Cómo cambia esto la forma en que construimos nuestro software? Una vez más, debemos captar estos porqués -que lo construimos así para apoyar la inmutabilidad y la efimeridad- para captar conocimientos (de los que hablaremos dentro de un rato). Hacerlo nos ayuda a ampliar nuestra ventana de tolerancia y solidifica nuestra comprensión de los umbrales del sistema más allá de los cuales estalla el fallo.

Automatizar las comprobaciones de seguridad mediante CI/CD

Una de las prácticas más valiosas para apoyar la ampliación de los límites de seguridad es automatizar las comprobaciones de seguridad aprovechando las tecnologías existentes para casos de uso de resiliencia. La práctica de la integración continua y la entrega continua⁵ (CI/CD) acelera el desarrollo y la entrega de funciones de software sin comprometer la fiabilidad ni la calidad.⁶ Una canalización CI/CD consiste en conjuntos de tareas (idealmente automatizadas) que entregan una nueva versión de software. Generalmente implica compilar la aplicación (lo que se conoce como "construcción"), probar el código, desplegar la aplicación en un repositorio o entorno de preparación, y entregar la aplicación a producción (lo que se conoce como "entrega"). Mediante la automatización, las canalizaciones de CI/CD garantizan que estas actividades se realicen a intervalos regulares con la mínima interferencia humana. Como resultado, CI/CD soporta las características de velocidad, fiabilidad y repetibilidad que necesitamos en nuestros sistemas para mantenerlos seguros y resistentes.

Deberíamos apreciar CI/CD no sólo como un mecanismo para evitar el trabajo de las implementaciones manuales, sino también como una herramienta para hacer que la entrega de software sea más repetible, predecible y coherente. Podemos aplicar invariantes, lo que nos permite conseguir las propiedades que queramos cada vez que creemos, implementemos y entreguemos software. Las empresas que pueden construir y entregar software más rápidamente también pueden mejorar las vulnerabilidades y los problemas de seguridad con mayor rapidez. Si puedes entregarlo cuando quieras, puedes estar seguro de que podrás enviar correcciones de seguridad cuando lo necesites. Para algunas empresas, eso puede ser cada hora y para otras, cada día. La cuestión es que tu organización puede entregar bajo demanda y, por tanto, responder a los eventos de seguridad bajo demanda.

Desde el punto de vista de la resiliencia, las Implementaciones manuales (y otras partes del flujo de trabajo de entrega) no sólo consumen un tiempo y un esfuerzo preciosos que sería mejor emplear en otra cosa, sino que también vinculan estrechamente al ser humano con el proceso, sin esperanza de linealidad. Los humanos son fabulosos adaptándose y respondiendo con variedad, y absolutamente inútiles haciendo lo mismo de la misma manera una y otra vez. El statu quo de seguridad y administración de sistemas de "ClickOps" es, desde este punto de vista, francamente peligroso. Aumenta el acoplamiento estrecho y la complejidad, sin las bendiciones de eficiencia que esperaríamos de este trato fáustico, equivalente a cambiar nuestra alma por una vida de tedio. La alternativa de las canalizaciones automatizadas CI/CD no sólo afloja el acoplamiento e introduce más linealidad, sino que también acelera la entrega del software, una de las situaciones en las que todos ganan que describimos en el último capítulo. Lo mismo ocurre con muchas formas de automatización del flujo de trabajo cuando el resultado son patrones estandarizados y repetibles.

En un ejemplo mucho más preocupante que el de las implementaciones manuales, las poblaciones indígenas locales de Noepe (Martha's Vineyard) se enfrentaron a los peligros del acoplamiento estrecho cuando el único servicio de transbordador que entregaba alimentos se vio interrumpido por la pandemia COVID-19.⁸ Si pensamos en nuestro oleoducto como un oleoducto de alimentos (como parte de la cadena de suministro de alimentos más amplia), entonces percibimos la necesidad conmovedora de fiabilidad y resistencia. No es diferente para nuestros conductos de construcción (que, afortunadamente, no ponen vidas en peligro).

Normalización de patrones y herramientas

De forma similar a la práctica de estandarizar las materias primas de para apoyar la funcionalidad crítica, la estandarización de herramientas y patrones es una práctica que apoya la ampliación de los límites de seguridad y el mantenimiento de las condiciones operativas dentro de esos límites. La normalización puede resumirse como la garantía de que el trabajo producido es coherente con las directrices preestablecidas. La normalización ayuda a reducir la posibilidad de que los humanos cometan errores, al garantizar que una tarea se realiza siempre de la misma manera (para lo que los humanos no están diseñados). En el contexto de los patrones y herramientas estandarizados, nos referimos a la coherencia en lo que utilizan los desarrolladores para una interacción eficaz con el desarrollo continuo del software.

Se trata de un área en la que los equipos de seguridad y los de ingeniería de plataformas pueden colaborar para lograr el objetivo compartido de la normalización. De hecho, los equipos de ingeniería de plataformas podrían incluso realizar este trabajo por su cuenta, si así conviene a su contexto organizativo. Como seguimos diciendo, el manto de "defensor" le viene bien a cualquiera, independientemente de su título habitual, si está apoyando la resiliencia de los sistemas (hablaremos de esto con mucha más profundidad en el Capítulo 7).

Si no tienes un equipo de ingeniería de plataformas y todo lo que tienes son unos cuantos defensores ansiosos y un presupuesto escaso, aún puedes ayudar a estandarizar los patrones para los equipos y reducir la tentación de poner en marcha su propia cosa de una forma que atente contra la seguridad. La táctica más sencilla es dar prioridad a los patrones para las partes del sistema con mayores implicaciones para la seguridad, como la autenticación o el cifrado. Si a tu equipo le resultara difícil crear patrones, herramientas o marcos estandarizados, también puedes buscar bibliotecas estándar para recomendarlas y asegurarte de que esa lista esté disponible como documentación accesible. De ese modo, los equipos sabrán que existe una lista de bibliotecas bien validadas que deben consultar y elegir cuando necesiten implementar una funcionalidad específica. Cualquier otra cosa que quieran utilizar fuera de esas bibliotecas puede merecer una discusión, pero por lo demás pueden avanzar en su trabajo sin interrumpir el trabajo del equipo de seguridad o de ingeniería de la plataforma.

Lo consigas como lo consigas, construir una "Carretera Pavimentada" para otros equipos es una de las actividades más valiosas de un programa de seguridad. Las carreteras asfaltadas son soluciones bien integradas y respaldadas a problemas comunes que permiten a los humanos centrarse en su creación de valor único (como crear una lógica empresarial diferenciada para una aplicación).¹⁴ Aunque la mayoría de las veces pensamos en las carreteras asfaltadas en el contexto de las actividades de ingeniería de productos, las carreteras asfaltadas son absolutamente aplicables en otras partes de la organización, como la seguridad. Imagina un programa de seguridad que encuentre formas de acelerar el trabajo. Facilitar a un vendedor la adopción de una nueva aplicación SaaS que le ayude a cerrar más tratos es una carretera asfaltada. Facilitar a los usuarios la auditoría de la seguridad de su cuenta, en lugar de enterrarla en menús anidados, también es un camino pavimentado. Hablaremos más sobre la habilitación de carreteras pavimentadas como parte de un programa de resiliencia en el Capítulo 7.

Análisis de dependencia y priorización de vulnerabilidades

La última práctica que podemos adoptar para ampliar y preservar nuestros límites de seguridad es el análisis de dependencias y, en particular, la priorización prudente de las vulnerabilidades. El análisis de dependencias, especialmente en el contexto de la detección de errores (incluidas las vulnerabilidades de seguridad), nos ayuda a comprender los fallos de nuestras herramientas para que podamos corregirlos o mitigarlos , o incluso considerar la posibilidad de utilizar herramientas mejores. Podemos tratar esta práctica como una protección contra posibles factores de estrés y sorpresas, lo que nos permite invertir nuestro capital de esfuerzo en otra cosa. Sin embargo, el sector de la seguridad no ha facilitado la comprensión de cuándo una vulnerabilidad es importante, así que empezaremos revelando heurísticas para saber cuándo debemos invertir esfuerzo en solucionarlas.

Configuración como código

La primera práctica que nos concede el don de hacer que las interacciones a través del espacio-tiempo sean más lineales (además de observarlas) es la Configuración como Código (CaC). La automatización de las actividades de implementación reduce la cantidad de esfuerzo humano necesario (que puede asignarse a otros fines) y favorece una entrega de software repetible y coherente. Parte de la entrega de software es también la entrega de la infraestructura subyacente a tus aplicaciones y servicios. ¿Cómo podemos asegurarnos de que la infraestructura también se entrega de forma repetible? En términos más generales, ¿cómo podemos verificar que nuestras configuraciones se ajustan a nuestros modelos mentales?

La respuesta está en las prácticas CaC: declarar configuraciones mediante marcado en lugar de procesos manuales. Aunque el movimiento SCE aspira a un futuro en el que todo tipo de configuraciones sean declarativas, la práctica actual consiste principalmente en la Infraestructura como Código (IaC). IaC es la capacidad de crear y gestionar infraestructuras mediante especificaciones declarativas en lugar de procesos de configuración manuales. La práctica utiliza el mismo tipo de proceso que el código fuente, pero en lugar de generar cada vez el mismo binario de aplicación, genera cada vez el mismo entorno. Crea servicios más fiables y predecibles. CaC es la idea de ampliar este enfoque a todas las configuraciones que importan, como la resiliencia, el cumplimiento y la seguridad. El CaC reside en la difusa superposición de la entrega y las operaciones, pero debe considerarse parte de lo que entregan los equipos de ingeniería.

Si ya conoces la IaC, quizá te sorprenda que se esté promocionando como herramienta de seguridad. Las organizaciones ya lo están adoptando por la pista de auditoría que genera, que apoya absolutamente la seguridad al hacer que las prácticas sean más repetibles. Veamos otras ventajas de la IaC para los programas de seguridad.

Respuesta más rápida a los incidentes

IaC admite la redistribución automática de la infraestructura cuando se producen incidentes. Y lo que es mejor, también puede responder automáticamente a los indicadores de incidentes, utilizando señales como el umbral para anticiparse a los problemas (hablaremos más de esto en el próximo capítulo). Con el reaprovisionamiento automático de la infraestructura, podemos eliminar y volver a desplegar las cargas de trabajo comprometidas en cuanto se detecta un ataque, sin afectar a la experiencia del usuario final.

Deriva ambiental minimizada

La deriva ambiental se refiere a configuraciones u otros atributos ambientales que "derivan" hacia un estado incoherente, como que la producción sea incoherente respecto a la puesta en escena. IaC admite el versionado automático de la infraestructura para minimizar la deriva ambiental y facilita la reversión de las implementaciones cuando sea necesario si algo va mal. Puedes realizar implementaciones en flotas de máquinas de forma impecable, de un modo que a los humanos les costaría llevar a cabo sin cometer errores. IaC te permite hacer cambios de forma casi atómica. Codifica tus procesos de implementación en una notación que puede pasarse de humano a humano, especialmente cuando los equipos cambian de miembros, lo que afloja nuestro acoplamiento en la capa 8 (es decir, la capa de las personas).

Parches y correcciones de seguridad más rápidos

IaC permite parchear e implementar más rápidamente los cambios de seguridad. Como comentamos en la sección sobre CI/CD, la verdadera lección del infame incidente de Equifax es que los procesos de aplicación de parches deben ser utilizables, de lo contrario la dilación será un curso de acción lógico. IaC reduce las fricciones a la hora de lanzar parches, actualizaciones o correcciones, y también descentraliza el proceso, promoviendo un acoplamiento organizativo más laxo. Como punto más general, si cualquier proceso organizativo es engorroso o inutilizable, será eludido. Esto no se debe a que los humanos sean malos, sino todo lo contrario: los humanos son bastante buenos ideando formas eficientes de alcanzar sus objetivos.

Configuraciones erróneas minimizadas

En el momento de escribir esto, las desconfiguraciones son la vulnerabilidad de seguridad en la nube más común según la Agencia Nacional de Seguridad (NSA); son fáciles de explotar por los atacantes y muy frecuentes. La IaC ayuda a corregir las desconfiguraciones tanto de los usuarios como de los sistemas automatizados. Tanto los humanos como los ordenadores son capaces de cometer errores, y esos errores son inevitables. Por ejemplo, IaC puede automatizar la implementación de configuraciones de control de acceso, que son notoriamente confusas y fáciles de estropear.

Detección de configuraciones vulnerables

Para detectar configuraciones vulnerables, el statu quo suele ser el escaneado autenticado en entornos de producción, lo que introduce nuevas vías de ataque y peligros. IaC nos permite eliminar ese peligro, escaneando en su lugar los archivos de código para encontrar configuraciones vulnerables. IaC también facilita la redacción y aplicación de reglas en un conjunto de archivos de configuración, frente a la redacción y aplicación de reglas en todas las API de tu proveedor de servicios en la nube (CSP).

Aplicación autónoma de políticas

IaC ayuda a automatizar la implementación y la aplicación de las políticas de IAM, como el Principio del Mínimo Privilegio (PoLP). Los patrones de IaC simplifican el cumplimiento de las normas del sector, como la conformidad, con un objetivo final de "conformidad continua"(Figura 4-1).

Figura 4-1. Un ejemplo de "flujo de trabajo de conformidad continua para IaC" de AWS

Control de cambios más estricto

IaC introduce el control de cambios mediante la gestión del código fuente (SCM), lo que permite revisiones por pares de las configuraciones y un sólido registro de cambios. Esto también aporta importantes ventajas de cumplimiento.

Debido a todas estas ventajas, y al hecho de que todos los equipos de ingeniería pueden aprovecharlas para alcanzar objetivos compartidos, IaC favorece un programa de seguridad más flexible y libera capital de esfuerzo para otras actividades. La pista de auditoría que engendra y los entornos de experimentación que permite también favorecen la curiosidad, que es lo que queremos para nuestra poción de resiliencia. Refuerza nuestra poción de resiliencia haciendo que las interacciones en el espacio-tiempo sean más lineales, pero también engendra flexibilidad y voluntad de cambio, como una oferta de "compre un reactivo y llévese otro gratis" en la botica de la bruja.

Inyección de fallos durante el desarrollo

Otra práctica que podemos utilizar en esta fase para excavar y observar las interacciones del sistema a través del espacio-tiempo es la inyección de fallos.²¹ De hecho, esto presenta dos oportunidades para los equipos de seguridad: aprender sobre la inyección de fallos para defender su valor para la organización (e intentar allanar el camino para su adopción), y colaborar con los equipos de ingeniería para integrar la inyección de fallos en los flujos de trabajo existentes. Si sólo probamos el "camino feliz" en nuestro software, nuestro modelo mental del sistema será un engaño y nos quedaremos desconcertados cuando nuestro software se vuelva inestable en producción. Para construir sistemas de software resistentes, debemos concebir y explorar también los "caminos infelices".

Cuando añadas un nuevo componente al sistema, considera qué eventos de interrupción pueden ser posibles y escribe pruebas para capturarlos. Estas pruebas se denominan pruebas de inyección de fallos: estresan el sistema introduciendo a propósito un fallo, como introducir un pico de tensión o una entrada sobredimensionada. Dado que la mayoría de los sistemas de software que construimos se parecen más o menos a una aplicación web conectada a una base de datos, una primera prueba de inyección de fallos puede adoptar a menudo la forma de "desconecta y vuelve a conectar la base de datos para asegurarte de que tu capa de abstracción de la base de datos recupera la conexión". A diferencia de los experimentos de caos, que simulan escenarios adversos, con la inyección de fallos estamos introduciendo una entrada torcida a propósito para ver qué ocurre en un componente concreto.

Muchos equipos no dan prioridad a la inyección de fallos (o tolerancia a fallos) hasta que se produce un incidente o un cuasi accidente. En una realidad de recursos finitos, es razonable preguntarse si la inyección de fallos merece la pena, pero eso supone que tienes que realizarla en todas partes para adoptarla. Empezar con la inyección de fallos para tus funciones críticas (como las que definiste en la evaluación de nivel 1 del Capítulo 2) te ayuda a invertir tu esfuerzo en los lugares donde realmente importa. Supongamos que tu empresa ofrece una plataforma de subastas de equipos físicos, en la que el tráfico de servicio durante una subasta debe producirse continuamente sin tiempo de inactividad, pero no pasa nada si se retrasa el análisis de los usuarios. Tal vez inviertas más en la inyección de fallos y otras pruebas que informen de las mejoras de diseño en el sistema de subastas, pero confíes en el monitoreo y la observabilidad en el resto de tus sistemas para que la recuperación de fallos sea más sencilla.

Las pruebas de inyección de fallos deben escribirse mientras el problema esté presente, es decir, durante el desarrollo. Hacer de la inyección de fallos una práctica estándar para las funciones críticas ayudará a los desarrolladores a comprender mejor sus dependencias antes de entregarlas, y podría desalentar la introducción de componentes que dificulten la operatividad del sistema. De hecho, este principio es válido para la mayoría de las pruebas, a las que nos referiremos a continuación.

Pruebas de integración, pruebas de carga y teatro de pruebas

Pasemos ahora a una práctica vital, y controvertida, que puede apoyar la observación de las interacciones del sistema a través del espacio-tiempo: las pruebas. Como disciplina, la ingeniería de software necesita mantener una conversación incómoda en torno a las pruebas (por no hablar del pésimo statu quo de las pruebas de seguridad). ¿Estamos probando la resistencia o la corrección a lo largo del tiempo, o sólo para decir que hemos hecho pruebas? Algunas formas de pruebas pueden servir más como dispositivos de seguridad cuando se automatizan completamente, bloqueando fusiones o implementaciones sin necesidad de intervención humana. O bien, podemos escribir un montón de pruebas unitarias, utilizar la cobertura del código como una representación engañosa de un trabajo bien hecho, y afirmar que "lo hemos probado" si algo va mal. Como alternativa, podemos invertir nuestro capital de esfuerzo en formas más constructivas de observar las propiedades de resiliencia del sistema mediante pruebas de integración y de carga, o incluso realizar pruebas de estrés de resiliencia (experimentación del caos) como parte del nivel de experimentación del que hablamos en el Capítulo 2.

La jerarquía triangular tradicional de pruebas no sirve para la resiliencia; el triángulo (y sus hermanos geométricos) parecen bonitos e intuitivos, pero son más estéticos que reales. Diferentes tipos de pruebas son mejores para abordar determinadas cuestiones, y qué pruebas te pueden resultar útiles dependerá de lo que sea más relevante para tu contexto local: tus funciones críticas y tus objetivos y limitaciones que definen tus límites operativos.

Tenemos que pensar en las pruebas en términos de Cartera de Inversión de Esfuerzos. La combinación ideal de tipos de pruebas y cobertura en la que invertimos puede ser diferente según el proyecto y la parte del sistema. A un ingeniero de software puede no importarle si su código de análisis de configuración es lento o torpe, siempre que la aplicación se inicie de forma fiable con la configuración correcta, por lo que las pruebas de integración son suficientes. Sin embargo, si es fundamental validar los datos entrantes del usuario, entonces las pruebas fuzz podrían ser un candidato para esas rutas de código.

Las pruebas escritas por los ingenieros son un artefacto de sus modelos mentales en un determinado punto del espacio-tiempo. Dado que la realidad evoluciona -incluidos los sistemas y las cargas de trabajo que contiene-, las pruebas quedan desfasadas. Las ideas que aprendemos de los experimentos de caos, los incidentes reales e incluso la observación de sistemas en buen estado deben volver a introducirse en nuestros conjuntos de pruebas para garantizar que reflejan la realidad de la producción. Debemos dar prioridad a las pruebas que nos ayuden a refinar nuestros modelos mentales y puedan adaptarse a medida que evoluciona el contexto del sistema. Como dice el manual de SRE de Google: "Las pruebas son el mecanismo que utilizas para demostrar áreas específicas de equivalencia cuando se producen cambios. Cada prueba que se supera tanto antes como después de un cambio reduce la incertidumbre que el análisis debe tener en cuenta. Unas pruebas minuciosas nos ayudan a predecir la fiabilidad futura de un sitio determinado con suficiente detalle como para ser útiles en la práctica."

La historia ha jugado en contra de las pruebas sólidas en la ingeniería de software; las organizaciones solían mantener equipos de pruebas dedicados, pero hoy en día son raros de ver. Culturalmente, a menudo existe la sensación entre los ingenieros de software de que las pruebas son "problema de otros". El problema subyacente a esta excusa es que las pruebas se perciben como demasiado complicadas, especialmente las pruebas de integración. Por eso los caminos pavimentados para las pruebas de todo tipo, no sólo de seguridad, son una de las soluciones más valiosas que pueden construir los equipos de ingeniería de seguridad y plataformas. Para contrarrestar las objeciones sobre el rendimiento, podríamos incluso permitir que los desarrolladores especifiquen el nivel de sobrecarga con el que se sienten cómodos.²²

En esta sección exploraremos por qué, en contra de la sabiduría popular, la categoría de pruebas más importante es posiblemente la prueba de integración (o "prueba de integración amplia"). Comprueba si el sistema hace realmente lo que se supone que debe hacer en el sentido más básico. Hablaremos de las pruebas de carga y de cómo podemos aprovechar la repetición del tráfico para observar cómo se comporta el sistema en el espacio-tiempo. A pesar de la sabiduría popular, discutiremos por qué las pruebas unitarias no deben considerarse la base necesaria antes de que una organización busque otras formas de pruebas. Algunas organizaciones pueden optar por renunciar por completo a las pruebas unitarias, por las razones que expondremos en esta sección. Terminaremos con las pruebas fuzz, una prueba que sólo merece la pena realizar una vez que hayamos establecido nuestros "fundamentos".

Cuidado con las abstracciones prematuras e inadecuadas

La última práctica que podemos considerar en el contexto de las interacciones del sistema a través del espacio-tiempo es el arte de las abstracciones. Las abstracciones son un ejemplo feroz de la Cartera de Inversión en Esfuerzo, porque las abstracciones sólo son convenientes cuando no tienes que mantenerlas. Considera una abstracción no informática: la tienda de comestibles. La tienda de comestibles se asegura de que haya plátanos disponibles todo el año, a pesar de las fluctuaciones en el suministro basadas en la estacionalidad, los niveles de lluvia, etc. Las complejas interacciones entre la tienda y los proveedores, entre los proveedores y los agricultores, entre los agricultores y el platanero, entre el platanero y su entorno... todo eso se abstrae para el consumidor. Para el consumidor, es tan fácil como ir a la tienda, elegir plátanos con el grado de madurez deseado y comprarlos en la caja. Para la tienda, se trata de un laborioso proceso de interacción con varios proveedores de plátanos -porque una vinculación estrecha con un solo proveedor provocaría fragilidad (¿y si el proveedor tiene un año malo y ahora no hay plátanos para tus consumidores?)-, así como de almacenar y poner en cola los plátanos para suavizar los caprichos del suministro (manteniendo al mismo tiempo la eficiencia suficiente para obtener beneficios).

Cuando creamos abstracciones, debemos recordar que alguien debe mantenerlas. Deshacerse de todo ese esfuerzo para el consumidor tiene un alto coste, y alguien debe diseñar y mantener esas ilusiones. Para cualquier cosa que no aporte un valor organizativo diferenciado, merece la pena subcontratar toda esa creación de ilusiones a seres humanos cuyo valor se basa en abstraer esa complejidad. Una tienda de comestibles no moldea su propio plástico para hacer cestas de la compra. Del mismo modo, una empresa de transportes con un sitio de comercio electrónico no se dedica a crear y mantener abstracciones de infraestructura, como, por ejemplo, gestionar la exclusión mutua y los bloqueos.

Cada vez que creamos una abstracción, debemos recordar que estamos creando una ilusión. Éste es el peligro de crear abstracciones para nuestro propio trabajo; puede dar lugar a un autoengaño. Una abstracción es, en última instancia, un acoplamiento estrecho hacia una sobrecarga minimizada. Oculta la complejidad subyacente por diseño, pero no se deshace de ella a menos que sólo la consumamos, no la mantengamos. Así que, si somos los creadores y mantenedores de la abstracción, podemos erizarnos ante la idea del acoplamiento laxo, porque te obliga a dar cuenta de la verdad. No oculta esas complejas interacciones a través del espacio-tiempo, lo que puede asustarnos. Pensábamos que entendíamos el sistema y ahora ¡mira toda esta interactividad "desconcertante"! La abstracción nos dio la ilusión de comprender, pero no la verdad.

Necesariamente, una abstracción oculta algún detalle, y ese detalle puede ser importante para la resistencia de tu sistema. Cuando tus sistemas de software son un nido enmarañado de abstracciones y algo va mal, ¿cómo lo depuras? Sacrificas una memoria RAM en el altar de los dioses eldritch, buscas otra vocación o lloras en silencio delante de la pantalla del ordenador durante un rato antes de engullir cafeína y realizar el equivalente virtual de golpearte la cabeza contra un muro de ladrillos mientras desmenuzas las abstracciones. Las abstracciones intentan ocultar interacciones desconcertantes y efectos de n-orden de los acontecimientos, pero el acoplamiento estrecho no puede erradicar la complejidad interactiva. Los fallos más pequeños en los componentes se convierten en fallos a nivel de sistema, y la inmediatez de la respuesta a los incidentes que exige el acoplamiento estrecho es imposible porque la información necesaria es opaca bajo el grueso y brillante brillo de la abstracción.

Marcos de coste de oportunidad el compromiso de abstracción bien. ¿A qué ventajas renunciamos al elegir una abstracción? ¿Cómo se compara eso con la racionalización y legibilidad que recibimos desde el momento en que se implementa hasta que contribuye al fracaso? Lo que buscamos es que la parte socio del sistema se acerque lo más posible a la comprensión. Pronto hablaremos de la importancia vital de compartir el conocimiento cuando exploremos cómo podemos apoyar el cuarto ingrediente de la poción: los bucles de retroalimentación y la cultura del aprendizaje. Al igual que no queremos un único servicio del que dependa todo nuestro sistema, tampoco queremos un único ser humano del que dependa todo nuestro sistema. Nuestra fuerza proviene de la colaboración y la comunicación, de que las diferentes perspectivas no sólo ayudan, sino que son explícitamente necesarias para comprender el sistema tal y como se comporta en la realidad, no sólo en los modelos estáticos de nuestras mentes o en un diagrama de arquitectura o en líneas de código.

Automatización de pruebas

Nuestra primera oportunidad de alimentar los bucles de retroalimentación y el aprendizaje durante esta fase es la práctica de la automatización de pruebas. Necesitamos articular el porqué de las pruebas tanto como debemos hacerlo con otras cosas. Cuando escribimos una prueba, ¿podemos articular por qué estamos verificando cada cosa que verificamos? Sin saber por qué se verifica cada cosa, nos quedaremos perplejos cuando nuestras pruebas fallen después de cambiar o añadir código nuevo. ¿Hemos roto algo? ¿O simplemente las pruebas están obsoletas, incapaces de razonar sobre el estado actualizado del mundo?

Cuando el porqué de los tests -o de cualquier otra cosa- no está documentado ni es digerible, es más probable que los seres humanos supongan que son innecesarios, algo que se puede arrancar y sustituir con facilidad. Este razonamiento sesgado se conoce como la falacia de la valla de Chesterton, descrita por primera vez en el libro de G.K. Chesterton La Cosa:

En la cuestión de reformar las cosas, a diferencia de deformarlas, hay un principio simple y llano; un principio que probablemente se llamará paradoja. Existe en tal caso una determinada institución o ley; digamos, para simplificar, una valla o una puerta erigida a través de un camino. El reformador más moderno se acerca alegremente y dice: "No veo la utilidad de esto; eliminémoslo". A lo que el reformador más inteligente hará bien en responder: "Si no le ves la utilidad, desde luego no te dejaré que lo elimines. Vete y piensa. Entonces, cuando puedas volver y decirme que sí le ves utilidad, puede que te permita destruirlo".

¿Cómo podemos promover bucles de retroalimentación más rápidos a partir de nuestras pruebas? Mediante la automatización de las pruebas. La automatización nos ayuda a conseguir repetibilidad y estandariza una secuencia de tareas (lo que nos proporciona tanto un acoplamiento más suelto como más linealidad). Queremos automatizar las tareas que no se benefician de la creatividad y la adaptación humanas, como las pruebas, lo que también puede facilitar el cambio del código. Si no automatizas tus pruebas, cualquier iteración del ciclo de aprendizaje se rezagará y será mucho más costosa. La automatización de las pruebas acelera nuestros bucles de retroalimentación y suaviza la fricción en torno al aprendizaje a partir de nuestras pruebas.

Por desgracia, la automatización de las pruebas a veces asusta a la gente de ciberseguridad, que le da mucha importancia a los pesados procesos de cambio en aras de la cobertura del "riesgo" (signifique eso lo que signifique realmente). El equipo de ciberseguridad tradicional no debería realizar pruebas de software, puesto que ya debería participar en el proceso de diseño (como se ha comentado en el último capítulo), y debería confiar en los ingenieros de software para implementar esos diseños (no queremos un panóptico). Cuando interferimos en la automatización de las pruebas y las vinculamos estrechamente a una entidad externa, como un equipo de ciberseguridad separado y aislado, ponemos en peligro la resiliencia al reducir la parte social de la capacidad de aprendizaje del sistema.

Pero, basta ya de hablar de todas las formas en que el sector de la ciberseguridad se equivoca actualmente. ¿Cómo podemos automatizar las pruebas correctamente? Las suites de pruebas de seguridad pueden activarse automáticamente una vez que se envía una RP, trabajando en tándem con las revisiones de código de otros desarrolladores para mejorar la eficacia (y satisfacer a los dioses eldritch de la presión de producción). Por supuesto, algunas herramientas tradicionales de pruebas de seguridad no son adecuadas para los flujos de trabajo automatizados; si una herramienta de análisis estático tarda 10 minutos -o, como lamentablemente sigue siendo habitual, unas horas- en realizar su análisis, entonces inevitablemente atascará la canalización. Según el informe Accelerate State of DevOps de 2019, sólo el 31% de los DevOps de élite utilizan pruebas de seguridad automatizadas, frente al escaso 15% de los de bajo rendimiento. Históricamente, las suites de pruebas de seguridad están controladas por el equipo de seguridad, pero como seguiremos insistiendo a lo largo del libro, esta centralización sólo perjudica nuestra capacidad de mantener la resiliencia, como ilustra la Figura 4-2.

Figura 4-2. Adopción de diferentes formas de automatización entre los ejecutores de DevOps(fuente: informe Accelerate State of DevOps 2019)

Podemos utilizar el análisis estático como ejemplo de cómo la automatización de pruebas puede mejorar la calidad. El análisis estático, aparte del coste de configuración de escribir la prueba, puede considerarse poco costoso cuando se amortiza en el tiempo, ya que descubre errores en tu código automáticamente. Dicho esto, a menudo existe una meta división sustancial entre los equipos de ingeniería de software. Cuando estás encima de tu backlog y refinando regularmente el diseño, puedes permitirte el lujo de preocuparte y hacer algo por los posibles fallos de seguridad. Cuando estás asfixiado bajo un montón de código C y desanimado para refinar el código, que te presenten más fallos de seguridad añade un insulto a la herida. La red de seguridad, por así decirlo, para ayudar a los equipos de ingeniería de software que luchan con un código heredado difícil de mantener se teje con herramientas que pueden ayudarles a modernizar y automatizar procesos de forma iterativa. La automatización de pruebas -entre otras automatizaciones de las que hemos hablado en este capítulo- puede ayudar a los equipos en apuros a salir poco a poco del fango, ya sea mediante autoservicio, mediante un equipo de ingeniería de plataformas o mediante un equipo de seguridad que siga un modelo de ingeniería de plataformas.

Por eso, los programas de seguridad deben incluir perspectivas de ingeniería de software a la hora de seleccionar herramientas; puede que ya existan herramientas de análisis estático -o herramientas más generales de "calidad del código"- que sean aptas para CI/CD, estén implementadas o en fase de estudio, y que podrían bastar para encontrar también errores con impacto en la seguridad. Por ejemplo, la integración de herramientas de análisis estático en los IDE puede reducir el tiempo que dedican los desarrolladores a corregir vulnerabilidades y aumentar la frecuencia con que los desarrolladores ejecutan el análisis de seguridad en su código. Los desarrolladores ya están familiarizados con este tipo de herramientas e incluso confían en ellas para mejorar sus flujos de trabajo. Puede que oigas a un desarrollador, por ejemplo, hablar maravillas de TypeScript, un lenguaje que existe puramente para añadir comprobación de tipos a un lenguaje existente menos seguro, porque les hace más productivos. Si podemos ayudar a los equipos de ingeniería de software a ser más productivos a la vez que aprenden más de los ciclos de retroalimentación más rápidos, nos merecemos chocar los cinco.

Documentar por qué y cuándo

Otra oportunidad para fomentar los bucles de retroalimentación y el aprendizaje al construir y suministrar sistemas es la práctica de la documentación; concretamente, documentar por qué y cuándo. Como expusimos en el Capítulo 1, la resiliencia se basa en la memoria. Nos debilitaremos al aprender si no podemos recordar los conocimientos pertinentes. Necesitamos que estos conocimientos sigan siendo accesibles para que el mayor número posible de seres humanos de la parte socio del sistema puedan emplearlos en sus bucles de retroalimentación. De ahí que debamos elevar la documentación a la categoría de práctica fundamental y más prioritaria que otras actividades más "sexys". Esta sección describirá cómo desarrollar docs para facilitar mejor el aprendizaje.

Cuando compartimos conocimientos, no podemos pensar en términos de componentes estáticos. Recuerda que la resiliencia es un verbo. Tenemos que compartir nuestra comprensión del sistema, no sólo cómo interactúan los componentes, sino por qué y cuándo interactúan, e incluso por qué existen. Tenemos que tratarlo como si describiéramos un ecosistema. Si estuvieras documentando una playa, podrías describir qué es cada cosa y cómo funciona. Hay arena. Hay olas que entran y salen. Hay conchas. Pero eso no nos dice mucho. Más significativo es cómo y cuándo interactúan estos componentes. La marea baja es a las 13:37 y, cuando ocurre, las gambas y las estrellas de mar se refugian en las pozas mareales; las pozas mareales quedan expuestas, al igual que las ostras; los cangrejos corretean por la playa en busca de comida, como esas sabrosas ostras y criaturas de las pozas mareales; las aves playeras también picotean en busca de bocados a lo largo de la costa. Cuando la marea sube seis horas más tarde (marea alta), las ostras y las vieiras abren sus conchas para alimentarse; las gambas y las estrellas de mar entran en el mar; los cangrejos hacen madrigueras; las aves playeras se posan; las tortugas marinas hembras se arrastran hasta la orilla para poner sus huevos, y las mareas altas acabarán arrastrando a las crías de tortuga hasta el océano.

Nuestros sistemas de software son complejos, hechos de componentes que interactúan. Son esas interacciones las que hacen que los sistemas sean "desconcertantes" y, por tanto, es imperativo captarlas como constructores. Tenemos que pensar en nuestros sistemas como un hábitat, no como una colección dispar de conceptos. Cuando nos encontramos con un sistema por primera vez, solemos preguntarnos: "¿Por qué se construyó así?" o, quizá más fundamentalmente, "¿Por qué existe esto?". Sin embargo, esto es lo que menos solemos documentar cuando construimos y entregamos software.

Hemos mencionado el proyecto Oxidation de Mozilla anteriormente en este capítulo en el contexto de la migración a un lenguaje seguro en memoria, pero también es un ejemplo loable de documentar el porqué. Para la mayoría de los componentes que han distribuido en Rust, responden a la pregunta "¿Por qué Rust?". Por ejemplo, con su integración del sistema de localización fluent-rs documentaron explícitamente que lo compilaron en Rust porque: "El rendimiento y las ganancias de memoria son sustanciales respecto a la implementación JS anterior. Aporta un análisis sintáctico de copia cero, y una resolución de cadenas de localización inteligente desde el punto de vista de la memoria. También allana el camino para migrar el resto de las API de Fluent lejos de JS, que es necesario para Fission".

Una respuesta tan detallada que indique el propósito e incluso el modelo mental que hay detrás de la decisión evita hábilmente el problema de la valla de Chesterton en el futuro. Pero incluso respuestas menos detalladas pueden apoyar una cultura de aprendizaje, bucles de retroalimentación y, lo que es crucial, la priorización. Por ejemplo, uno de los componentes propuestos para ser "oxidados" en Rust -sustituir los serializadores DOM (XML, HTML para Guardar como..., texto plano)- dice simplemente: "¿Por qué Rust? Necesita una reescritura de todos modos. Historial menor de vulnerabilidades de seguridad". Migrar a un lenguaje seguro en memoria puede ser una oportunidad para abordar problemas de larga data que dificultan la fiabilidad, la resistencia o incluso simplemente la mantenibilidad. Siempre que podamos, debemos buscar oportunidades para maximizar el rendimiento de nuestras inversiones en esfuerzo.

Rastreo y registro distribuidos

La tercera práctica que discutiremos que puede alimentar los bucles de retroalimentación y promover el aprendizaje durante esta fase es el rastreo y el registro distribuidos. Es difícil limitarse a mirar las pequeñas migas de pan esparcidas por el sistema que no se reúnen en la historia (y los humanos pensamos mucho en historias). Tanto si se trata de triar un incidente como de refinar tu modelo mental para informar sobre las mejoras, es esencial observar las interacciones a lo largo del tiempo. No puedes formar un bucle de retroalimentación sin poder ver lo que ocurre; la retroalimentación es una parte esencial del bucle.

Debemos planificar e incorporar esta información a nuestros servicios mediante el seguimiento y el registro. Ninguna de las dos cosas es algo que puedas atornillar después de la entrega o aplicar automáticamente a todos los servicios que operas. Inviertes esfuerzo durante la fase de construcción y entrega, y luego recibes un retorno de esa inversión en la fase de observación y funcionamiento. Alternativamente, puedes decidir no invertir capital de esfuerzo durante esta fase y arrancarte los pelos de frustración cuando intentes depurar tu complicado sistema de microservicios cuando falle adivinando qué mensajes de registro coinciden con cuáles (lo que es increíblemente engorroso en servicios con un volumen razonable). Podemos pensar en el rastreo y el registro como una protección contra una caída grave cuando nuestro software se ejecuta en producción: la retroalimentación que nos ayuda a mantener un bucle productivo en lugar de una espiral descendente. Esta sección explorará cómo podemos pensar en cada uno de ellos durante esta fase.

Perfeccionar la interacción humana con las prácticas de construcción y entrega

Por último, podemos perfeccionar el modo en que los humanos interactúan con nuestras prácticas de desarrollo, como otra oportunidad para reforzar los circuitos de retroalimentación y alimentar una cultura de aprendizaje. Para construir y entregar sistemas de software que mantengan la resiliencia, nuestras prácticas en esta fase tienen que ser sostenibles. Tenemos que estar en un modo de aprendizaje constante de cómo interactúan los seres humanos de nuestros sistemas sociotécnicos con las prácticas, patrones y herramientas que les permiten construir y entregar sistemas. Tenemos que estar abiertos a probar nuevos IDE, patrones de diseño de software, herramientas CLI, automatización, emparejamiento, prácticas de gestión de problemas y todas las demás cosas que se entretejen a lo largo de esta fase.

Parte de este modo de aprendizaje consiste también en estar abierto a la idea de que el statu quo no funciona: escuchar las opiniones de que las cosas podrían ir mejor. Tenemos que estar dispuestos a descartar nuestras viejas prácticas, pautas y herramientas cuando ya no nos sirvan o si dificultan la construcción de un sistema resistente o fiable. Recordar el contexto local también nos ayuda a refinar la forma de trabajar en esta fase; algunos proyectos pueden exigir prácticas diferentes y debemos decidir refinarlas en consecuencia.

Recapitulando, tenemos cuatro oportunidades para fomentar los bucles de retroalimentación y alimentar el aprendizaje -el cuarto ingrediente de la receta de nuestra poción de resiliencia- durante la construcción y la entrega: la automatización de las pruebas, la documentación de por qué y cuándo, el seguimiento y el registro distribuidos, y el perfeccionamiento de la forma en que los seres humanos interactúan con los procesos de desarrollo. Cómo cambiamos estas interacciones -y cómo cambiamos cualquier cosa durante esta fase- nos lleva al ingrediente final de nuestra poción de resistencia: flexibilidad y voluntad de cambio.

Iteración para imitar la evolución

La primera práctica que podemos adoptar para fomentar la flexibilidad y mantener la disposición al cambio es la iteración. Como primera aproximación a lo que constituye un "buen código", se trata de código fácil de sustituir. Nos ayuda a fomentar la flexibilidad y la voluntad de cambio que son esenciales para la resiliencia de los sistemas, al permitirnos modificar y refactorizar el código a medida que recibimos comentarios y cambian las condiciones. El código que es fácil de sustituir es fácil de parchear. Los equipos de seguridad suelen decir a los ingenieros de software que arreglen los problemas de seguridad del código a un nivel más "fundamental", en lugar de ponerle una venda; el código que es fácil de sustituir también es fácil de refactorizar para remediar esos problemas.

Un enfoque iterativo de la construcción y entrega de sistemas permite la capacidad de evolución que necesitamos para apoyar la resiliencia de los sistemas. Los productos mínimos viables (PMV) y la experimentación de características son nuestros mejores amigos durante esta fase. No sólo aceleran el tiempo de comercialización del código -llegando más rápidamente a los usuarios finales-, sino que también nos permiten determinar más rápidamente lo que funciona, o no, para escapar de la trampa de la rigidez (que erosiona la resiliencia). Es un medio para conseguir no sólo un acoplamiento más suelto, sino las fáciles sustituciones que caracterizan a los sistemas más lineales. Tenemos que fomentar la experimentación, facilitando la innovación rápida, pero descartando lo que no funciona sin vergüenza ni culpa.

También tenemos que seguir adelante con nuestros MVP y experimentos. Por ejemplo, si desarrollas un nuevo patrón de autenticación que es mejor que el status quo, asegúrate de terminar el trabajo: pasa del MVP a un producto real. Es fácil perder fuelle después de conseguir que un prototipo funcione en parte del sistema, pero el seguimiento es necesario para la resiliencia. Si no hacemos un seguimiento ni invertimos en mantenerlo, reducimos la holgura del sistema y dejamos que la fragilidad se apodere de él. Este seguimiento es necesario incluso si nuestros experimentos no resultan como esperábamos. Si las pruebas sugieren que el experimento no es viable, necesitamos un seguimiento en forma de limpieza y eliminación del experimento del código base. Los restos de experimentos fallidos abarrotarán la base de código, causando confusión a cualquiera que tropiece con ellos. (Podría decirse que el asombroso fracaso de Knight Capital en 2014 es un ejemplo de ello).

Desgraciadamente, el enfoque incremental de la construcción y la entrega suele fracasar por razones sociales. A los humanos nos gusta la novedad. A menudo nos encanta conseguir una gran victoria de una sola vez, en lugar de un montón de pequeñas victorias a lo largo del tiempo. Por supuesto, esta inclinación por la novedad y los lanzamientos de características llamativas significa que sacrificaremos el progreso incremental y, por tanto, nuestra capacidad de mantener la resiliencia. Es mucho más difícil hacer evolucionar un software que sólo recibe lanzamientos "big bang" una vez al trimestre que un software que se despliega bajo demanda, como cada día o cada semana. Cuando una nueva vulnerabilidad de gran impacto golpea como un trueno, el enfoque incremental significa que puede lanzarse un parche rápidamente, mientras que el modelo de lanzamiento a lo grande y con bombo y platillo probablemente será más lento de parchear por razones tanto técnicas como sociales.

¿Cómo podemos mantener la sensación de frescura en el modelo iterativo? Los experimentos de caos, ya sean del tipo de seguridad o de rendimiento, pueden desatar la adrenalina y ofrecer una perspectiva novedosa que puede llevar a los ingenieros a ver su código y su software a través de una lente diferente. Por ejemplo, podríamos analizar la arquitectura y el código de un sistema para intentar comprender su rendimiento, pero un enfoque más eficaz es acoplar un perfilador mientras se simula la carga; las herramientas nos dirán exactamente en qué invierte el tiempo el sistema. También podemos incentivar a la gente para que siga adelante, sea curiosa y se apropie del código, como en "este módulo te pertenece personalmente".

Un enfoque iterativo también se alinea con la modularidad en el diseño, que trataremos a continuación.

Modularidad: la antigua herramienta de la humanidad para la resiliencia

La segunda oportunidad que tenemos a nuestro alcance para cultivar la flexibilidad y mantener la adaptabilidad es la modularidad. Según el Servicio de Parques Nacionales de EE.UU. (NPS), la modularidad en sistemas complejos "permite que partes estructural o funcionalmente distintas conserven su autonomía durante un periodo de estrés, y permite recuperarse más fácilmente de una pérdida". Es una propiedad del sistema que refleja el grado en que los componentes del sistema -normalmente densamente conectados en una red³⁷-pueden desacoplarse en grupos separados (a veces denominados "comunidades").³⁸

Puede que pensemos en los módulos en términos de software, pero los humanos han comprendido intuitivamente cómo la modularidad favorece la resiliencia en los sistemas sociotécnicos durante miles de años. En la antigua Palestina, las terrazas modulares de piedra cultivaban olivos, vides y otros productos.³⁹ Los anglosajones implantaron sistemas de tres campos, rotando los cultivos de un campo a otro, una estrategia pionera en China durante el primer milenio a.C.⁴⁰ Por esta razón, el NPS describe la modularidad como reflejo de "una respuesta humana a la escasez de recursos o a factores de estrés que amenazan las actividades económicas". La modularidad está inscrita en la historia de la humanidad, y con ella podemos tejer también un futuro resiliente.

En el contexto de los paisajes culturales -un paisaje natural modelado por un grupo cultural-, poseer unidades modulares (como zonas de uso del suelo) o características (como huertos o campos) mejora la resistencia al estrés. Durante una perturbación, una unidad o rasgo modular puede persistir o funcionar independientemente del resto del paisaje o de otros rasgos modulares. Ofrece un acoplamiento más suelto, sofocando el efecto contagio. La naturaleza monofuncional de los módulos también introduce la linealidad, una forma de hacer el paisaje más "legible" sin la homogeneidad de la Normalbaum estrechamente acoplada de la que hablamos en el Capítulo 3.

En el Sitio Histórico Nacional John Muir, por ejemplo, hay varios bloques de árboles multiespecie y multivariedad que fomentan la resistencia a las heladas, como se muestra en la Figura 4-3. Este inteligente diseño garantiza que, si las heladas tardías dañan algunos de los árboles en flor, aún pueda haber cierta producción de fruta. Esta resistencia tampoco floreció a expensas de la eficiencia, sino que en realidad la mejoró. El NPS escribe: "El sistema histórico de huertos del Sitio Histórico Nacional John Muir se plantó como unidades modulares de bloques de especies que contenían variedades mixtas, ganando eficiencia en las operaciones pero también incorporando resiliencia al sistema."

Figura 4-3. Un ejemplo de arquitectura modular en un paisaje cultural, del Sitio Histórico Nacional John Muir, gestionado por el NPS (fuente: Servicio de Parques Nacionales).

Ya se trate de paisajes culturales o de paisajes de software, cuando hay poca modularidad, se producen cascadas de fallos. La baja modularidad desencadena efectos de contagio, en los que un factor estresante o una sorpresa en un componente pueden provocar un fallo en la mayor parte o en todo el sistema. Un sistema con alta modularidad, sin embargo, puede contener o "amortiguar" esos estresores y sorpresas para que no se propaguen de un componente a los demás. Gracias a esta ventaja, la modularidad puede caracterizarse como una "medida de la fuerza de división de un sistema en grupos de comunidades y está relacionada con el grado de conectividad dentro de un sistema".⁴¹

Por ejemplo, una mayor modularidad puede ralentizar la propagación de enfermedades infecciosas, precisamente la teoría que subyace al distanciamiento social y, en particular, a las "burbujas COVID", en las que un grupo de menos de 10 personas permanece unido, pero minimiza la interacción con otros grupos. Otros ejemplos de modularidad en nuestra vida cotidiana son la cuarentena aeroportuaria para evitar la fauna invasora o las epidemias y los cortafuegos -espacios en el material combustible- que frenan la propagación de los incendios forestales.⁴²

Aunque nuestras "especies" de software -servicios o aplicaciones independientes con una finalidad única- rara vez realizan la misma función⁴³ (como los árboles frutales), podemos beneficiarnos de la modularidad. Para ampliar la analogía del huerto, la labor común de riego y mantenimiento aplicada a todos los árboles del huerto es similar a la infraestructura común de nuestros "huertos" de software, como el registro, el monitoreo y la orquestación. La modularidad puede incluso refinar nuestras funciones críticas. Una empresa de tecnología publicitaria podría crear servicios duplicados que compartieran el 95% del comportamiento, pero con pequeñas partes críticas para enfrentarse entre sí en estrategias de segmentación de usuarios.

Los módulos suelen introducir más linealidad, permitiendo la encapsulación básica y la separación de intereses. También crean un límite local sobre el que más tarde podemos introducir el aislamiento. A un nivel más localizado tenemos la modularidad con fines organizativos, para facilitar la navegación y la actualización del sistema, y para proporcionar un nivel de linealidad lógica (donde los datos fluyen en una dirección, pero la contrapresión y los fallos interrumpen la linealidad completa), aunque los módulos no estén aislados.

La modularidad, cuando se hace bien, favorece directamente un acoplamiento más laxo: mantiene las cosas separadas y limita la coordinación en toda la base de código. También favorece la linealidad, al permitirnos dividir las cosas en componentes más pequeños que nos acercan a un único propósito. Si intentamos mantener la funcionalidad unida, podemos añadir complejidad. En el post de tef sobre la sabiduría contraintuitiva del software, aconsejan: "Al intentar evitar la duplicación y mantener el código unido, acabamos enredando las cosas... con el tiempo sus responsabilidades cambiarán e interactuarán de formas nuevas e inesperadas". Para lograr la modularidad, el autor dice que debemos comprender:

• Qué componentes deben comunicarse entre sí

• Qué componentes necesitan compartir recursos

• Qué componentes comparten responsabilidades

• ¿Qué limitaciones externas existen y en qué dirección se mueven?

Banderas de características y lanzamientos oscuros

Otra práctica para apoyar la flexibilidad y permanecer preparado para el cambio rápido es el arte de los lanzamientos oscuros, comobotar un barco desde un puerto tranquilo a medianoche bajo una luna nueva. La práctica de los lanzamientos oscuros te permite desplegar código en producción sin exponerlo al tráfico de producción o, si lo prefieres, exponer una nueva función o versión a un subconjunto de usuarios.

Las banderas de función nos permiten realizar lanzamientos oscuros. Las banderasde función (o "interruptores" de función) son un patrón para elegir entre rutas de código alternativas en tiempo de ejecución, como activar o desactivar una función, sin tener que hacer o implementar cambios en el código. A veces se consideran un truco ingenioso útil para los jefes de producto y los ingenieros de UX, pero esto desmiente su potencial de resistencia. Nos hace más ágiles, acelerando nuestra capacidad de implementar código nuevo al tiempo que nos ofrece la flexibilidad de ajustar su accesibilidad para los usuarios. Si algo va mal, podemos "desmarcar" la bandera de la función, dándonos tiempo para investigar y perfeccionar mientras mantenemos el resto de la funcionalidad sana y operativa.

Las banderas de características también nos ayudan a desacoplar las implementaciones de código de las grandes y brillantes versiones de características que anunciamos al mundo. Podemos observar las interacciones del sistema en una subpoblación de usuarios, informando de cualquier mejora (que ahora nos resultará más fácil y rápida de implementar) antes de poner el nuevo código a disposición de todos los usuarios. Por supuesto, el marcado de funciones tiene un coste (como cualquier otra práctica), pero los equipos de ingeniería de productos deben esperar que sus equipos de plataforma les ofrezcan esta capacidad como un camino pavimentado y utilizarla generosamente para mejorar la fiabilidad.

Seguiremos insistiendo en la importancia de inventar formas ingeniosas de mejorar la resiliencia, al tiempo que tentamos con "zanahorias" en otras dimensiones para incentivar la adopción. El lanzamiento oscuro se encuentra precisamente en esa categoría de medicina deleitable. Los equipos de Ingeniería de Producto pueden acelerar el desarrollo de sus características y volverse más experimentales -mejorando las codiciadas métricas de producto, como las tasas de conversión-, mientras que nosotros ganamos más flexibilidad, lo que nos permite cambiar rápidamente a medida que cambian las condiciones (por no mencionar que nos da la oportunidad de observar las interacciones de los usuarios con el sistema y cultivar también un bucle de retroalimentación).

Preservar las posibilidades de refactorización: Tipificación

Nuestra cuarta oportunidad para la flexibilidad y la disposición al cambio es la preservación de las posibilidades, concretamente con la vista puesta en la inevitable refactorización. Cuando escriben código, los ingenieros se dejan llevar por la electrizante expectación del lanzamiento y no contemplan el nebuloso horizonte reflexionando sobre lo que importa cuando el código necesite inevitablemente una refactorización (del mismo modo que los equipos de rodaje no rumian el remake cuando filman el original). Sin embargo, al igual que los destinos asignados por los Moirai de la antigua Grecia, la refactorización es ineluctable y, en el espíritu de asignar el esfuerzo con una estrategia de inversión sabia, debemos intentar preservar las posibilidades al construir software. Debemos prever que el código necesitará cambiar y tomar decisiones que apoyen la flexibilidad para hacerlo.

¿Cómo se ve esto en la práctica? A alto nivel, necesitamos un camino fácil para reestructurar con seguridad las abstracciones, los modelos de datos y los enfoques del dominio del problema. Las declaraciones de tipos son una herramienta que podemos esgrimir para preservar las posibilidades, aunque reconocemos que el tema es polémico. Los no iniciados en la lucha de los empollones quizá se pregunten qué son las declaraciones de tipos y los sistemas de tipos.

Los sistemas de tipos están pensados para "prevenir la aparición de errores de ejecución durante la ejecución de un programa".⁴⁶ No nos adentraremos en la profunda madriguera de los sistemas de tipos, salvo para explorar cómo pueden ayudarnos a construir un software más resistente. Un tipo es un conjunto de requisitos que declaran qué operaciones pueden realizarse sobre valores que se consideran conformes al tipo. Los tipos pueden ser concretos, describiendo una representación particular de los valores que están permitidos, o abstractos, describiendo un conjunto de comportamientos que pueden realizarse sobre ellos sin restricción de representación.

Una declaración de tipo especifica las propiedades de funciones u objetos. Es un mecanismo para asignar un nombre (como un tipo "numérico⁴⁷) a un conjunto de requisitos de tipo (como la capacidad de sumar, multiplicar o dividir), que pueden utilizarse posteriormente al declarar variables o argumentos. Para todos los valores almacenados en la variable, el compilador del lenguaje o el tiempo de ejecución verificarán que dichos valores coinciden con el conjunto ampliado de requisitos.

Los lenguajes tipados estáticamente requieren que se asocie un tipo a cada variable o argumento de función; todos permiten un tipo con nombre y algunos permiten una lista anónima, sin nombre, de requisitos de tipo. Para los tipos con un conjunto largo de requisitos, es menos propenso a errores y más reutilizable definir los requisitos de tipo una vez con un nombre asociado a ellos y luego referenciar el tipo mediante el nombre siempre que se utilice.

El tipado estático puede facilitar la refactorización del software, ya que los errores de tipo ayudan a guiar la migración. Sin embargo, tu cartera de inversión de esfuerzo puede preferir una menor asignación de esfuerzo por adelantado, en cuyo caso corregir errores de tipo al probar nuevas estructuras puede percibirse como excesivamente oneroso. La Tabla 4-1 explora las diferencias entre tipado estático y tipado dinámico para ayudarte a navegar por esta disyuntiva.

Cuanto más podamos codificar en el sistema de tipos para que las herramientas nos ayuden a construir sistemas seguros y correctos, más fácil nos resultará refactorizar. Por ejemplo, si pasamos int64 por todas partes para representar una marca de tiempo, una alternativa podría ser llamarlos "marcas de tiempo" para mayor claridad; así evitaremos compararlos accidentalmente o confundirlos con un índice de bucle o con un día del mes. En general, cuanta más claridad podamos proporcionar en torno a las funciones del sistema, hasta los componentes individuales, mejor será nuestra capacidad para adaptar el sistema según sea necesario. Refactorizar el código para añadir declaraciones de tipos útiles puede garantizar que los modelos mentales de los desarrolladores sobre su código estén más alineados con la realidad.

Patrón del higo estrangulador

A veces podemos estar dispuestos y ansiosos por cambiar nuestro sistema, pero no tenemos claro cómo hacerlo sin contaminar la funcionalidad crítica. El patrón de la higa estranguladora apoya nuestra capacidad de cambio -incluso para la más conservadora de las organizaciones-, ayudándonos a mantener la flexibilidad. Reescribir una función, un servicio o todo un sistema descartando el código existente y escribiéndolo todo de nuevo sofocará la flexibilidad de una organización, al igual que un lanzamiento "big bang" en el que todo se cambie al mismo tiempo. Algunas organizaciones de sectores más maduros que están atadas a sistemas con décadas de antigüedad a menudo se preocupan de que las prácticas, patrones y tecnologías modernas de ingeniería de software sean inaccesibles, porque ¿cómo podrían reescribirlo todo sin romper nada? Probablemente se resquebrajarían como Humpty Dumpty y costaría un esfuerzo desorbitado recomponerlo si intentáramos reescribirlo o cambiarlo todo de golpe. Afortunadamente, podemos aprovechar la iteración y la modularidad para cambiar un subconjunto de un sistema a la vez, manteniendo el sistema general en funcionamiento mientras cambiamos parte de lo que hay debajo.

El patrón fig estrangulador nos permite sustituir gradualmente partes de nuestro sistema por nuevos componentes de software, en lugar de intentar una reescritura "big bang"(Figura 4-4). Normalmente, las organizaciones utilizan este patrón para migrar de una arquitectura monolítica a otra más modular. Adoptar el patrón de la higa estranguladora nos permite mantener abiertas nuestras opciones, comprender los contextos cambiantes y sentirnos preparados para hacer evolucionar nuestros sistemas en consecuencia.

Figura 4-4. El patrón de la figura del estrangulador para transformar sistemas de software (adaptado de https://oreil.ly/KyMO1)

En un servicio prestado a través del navegador, podrías sustituir una página cada vez, empezando por las menos críticas, evaluando las pruebas una vez implementado el componente rediseñado, y pasando después a la página siguiente. Las pruebas recogidas después de cada migración informan de las mejoras para la siguiente migración; al final del patrón de la higa estranguladora, tu equipo será probablemente un profesional. Lo mismo ocurre con la reescritura de una aplicación mainframe on-prem, monolítica y escrita en una materia prima peligrosa como C -un status quo común en las organizaciones más antiguas o en las de sectores muy regulados. El patrón de higos estranguladores nos permite extraer una función y reescribirla en un lenguaje seguro para la memoria como Go, que tiene una curva de aprendizaje relativamente baja(Figura 4-5). Es, en efecto, el enfoque conservador, pero a menudo también el más rápido. El modelo "big bang" es a menudo todo "romper cosas" sin el "moverse rápidamente", ya que los sistemas estrechamente acoplados son difíciles de cambiar.

Figura 4-5. El patrón de la figura estranguladora consiste en extraer una parte del sistema y migrar iterativamente más funcionalidad a lo largo del tiempo

El patrón de la higa estranguladora es especialmente útil para organizaciones muy reguladas o con aplicaciones heredadas on-prem. Aprovechando sus ideas presentadas en la charla de AWS re:Invent de 2021 "Discover Financial Services: Payments mainframe to cloud platform", podemos aprender de cómo migraron parte de su aplicación monolítica y heredada de pagos mainframe a una nube pública -manteniendo la conformidad PCI- mediante el patrón strangler fig. Este servicio es un eje clave en la red de pagos , lo que hace que los cambios sean una propuesta precaria, ya que su interrupción perturbaría toda la red. De ahí que muchas organizaciones conservadoras se aferren a menudo a sus aplicaciones mainframe heredadas por miedo a la interrupción, aunque les aguarden tentadores beneficios si modernizan esos servicios, como obtener una ventaja en el mercado o, al menos, mantenerse a la altura en un mercado cada vez más competitivo.

La empresa de servicios financieros globales Discover ideó la plataforma modernizada que buscaban, con algunas características clave: interfaces estándar (como las API REST); servicios de perímetro que tokenizan los datos sensibles (de modo que los servicios centrales sólo puedan procesar datos tokenizados y canónicos); microservicios de acoplamiento flexible (con un registro de servicios para las API y un bus de eventos para la mensajería); y datos centralizados de clientes y eventos a los que se accede a través de las API.

No intentaron migrar del mainframe a esta plataforma modernizada de golpe (un enfoque "big bang"); optaron por "cambiar a la nube lenta, lentamente" mediante el patrón de la higa estranguladora, lo que les permitió migrar incrementalmente la aplicación de pagos clásica del mainframe sustituyendo gradualmente la funcionalidad. La aplicación clásica estaba estrechamente acoplada, lo que dificultaba el cambio. De hecho, fue su conservadurismo respecto al cambio lo que les disuadió de un lanzamiento "big bang" para adoptar en su lugar el patrón strangler fig, ya que cambiar tanto código de golpe podría suponer un desastre.

El equipo identificó piezas dentro de los módulos que podían "recrear razonablemente en otro lugar" para que actuaran en concierto con el mainframe hasta que pudieran confiar en la versión moderna y desconectar la versión clásica. Discover eligió el componente de fijación de precios como el primero en migrar del sistema de liquidación clásico, ya que se puede "trocear" de varias maneras(Figura 4-6). La migración del componente de fijación de precios les permitió adoptar cambios de precios en tres semanas, frente a los seis meses que tardaba la aplicación mainframe, una gran victoria para la organización, que satisfizo las presiones de producción de las que hablaremos en el Capítulo 7. Les permitió "abrir la posibilidad de una mayor flexibilidad, mucha más coherencia y, definitivamente, mucha más velocidad de comercialización" de lo que podían conseguir con la aplicación clásica de mainframe. También creó la posibilidad de proporcionar cuadros de mando y análisis sobre los datos de precios a sus socios comerciales, creando nuevas propuestas de valor.

Figura 4-6. Fase 1 de "Estrangulamiento" de Discover

¿Cómo redujeron los riesgos en la migración? Ejecutaron la nueva versión del motor de fijación de precios codo con codo con el mainframe para ganar confianza. No hubo ningún incidente en producción, e incluso redujeron el tiempo de ejecución en el proceso de liquidación en un 50%. Para su sorpresa, descubrieron problemas en el sistema antiguo que la empresa ni siquiera sabía que existían. Como señala el Director Senior de Desarrollo de Aplicaciones, Ewen McPherson, que un sistema sea "clásico" o heredado no significa que se ajuste perfectamente a tus intenciones.

Discover iniciaba este viaje "desde cero", sin experiencia en la nube. Adoptaron un enfoque por fases -en consonancia con el enfoque iterativo que hemos recomendado antes en esta sección- que comenzó con una "fase de inmersión" en la que el cambio clave fue llamar a Amazon Relational Database Service (RDS) desde su nube interna. La siguiente fase fue impulsada por su equipo de análisis de datos, que presionó para trasladar su almacén de datos on-prem a la nube porque concebían los big data como un potencial diferenciador empresarial. Este impulso, en particular, obligó a Discover a "superar" sus temores sobre la seguridad y los riesgos. Poco más de un año después, entraron en la siguiente fase, en la que empezaron a migrar las funciones básicas a la nube.

Este primer intento de migrar funcionalidad a la nube no funcionó según lo previsto; carecían de suficiente capital de esfuerzo en su Cartera de Inversión en Esfuerzo para asignarlo al funcionamiento de microservicios. Hay dos lecciones importantes de este comienzo en falso. En primer lugar, sólo debe hacerse un cambio básico a la vez; en el caso de Discover, estaban intentando cambiar tanto la arquitectura (transformándose a microservicios) como migrar la funcionalidad (a la nube). En segundo lugar, su flexibilidad y voluntad de cambio -tanto técnica como culturalmente- les permitió enmendar este paso en falso sin penalizaciones graves. Discover puso en práctica este intento inicial de forma que pudiera ampliarse y modificarse en función de la evolución de los objetivos y las limitaciones de la empresa, de modo que pudieran pivotar en función de las reacciones del sistema sociotécnico.

Su intento refinado de migrar la funcionalidad de precios fue implementar un modelo basado en lotes en la nube, con los cálculos resultantes enviados de vuelta al mainframe (ya que para empezar sólo migraron parte de la aplicación clásica). Con el tiempo se migrará todo desde el mainframe, pero empezar con una parte de la funcionalidad del sistema es exactamente lo que queremos para un enfoque iterativo, modular y de higos a brevas. No tenemos que migrarlo todo de una vez, ni deberíamos hacerlo. La iteración con pequeños módulos nos prepara para el éxito y la capacidad de adaptarnos a las condiciones cambiantes de una forma que no es posible con lanzamientos "big bang" o con múltiples cambios radicales a la vez.

La tecnología es sólo una parte de esta transformación con el patrón de la higa estranguladora. Podemos adoptar nuevas herramientas y trasladar la funcionalidad a un nuevo entorno, pero es probable que las viejas formas de interactuar de los humanos con la parte técnica del sistema ya no funcionen. Los modelos mentales suelen ser pegajosos. Como señaló Discover, quienquiera que posea el nuevo proceso lo ve a través de la lente de su antiguo proceso: se está cambiando un ritual por otro. Los nuevos principios que adoptamos al cambiar el sistema también necesitan una iteración incremental. Sin embargo, el núcleo de nuestros principios debe ser la voluntad de cambiar, proporcionando al socio del sistema la seguridad psicológica necesaria para cometer errores y volver a intentarlo.

Recapitulando, tenemos cinco oportunidades para mantener la flexibilidad y estimular la disposición al cambio -el ingrediente final de nuestra poción de resiliencia al construir y entregar sistemas-: la iteración, la modularidad, las banderas de características, la preservación de las posibilidades de refactorización y el patrón de la higa estranguladora. Lo siguiente en nuestro viaje por la transformación de la SCE es lo que debemos hacer una vez que nuestros sistemas estén implementados en producción: operar y observar.