Tecnologia

Guia DevSecOps: integrando segurança ao DevOps

20 de Agosto de 2020

por Marketing

Tempo de leitura: 8 min

Voltar

Entenda o que é, benefícios, por que implementar, desafios e ferramentas DevSecOps 

Em cerca de 40 anos de prática de desenvolvimento, a segurança sempre foi vista como um checkpoint final, muito afim à abordagem em cascata.  

Dados os problemas oriundos dessa abordagem, surgem, na esteira das metodologias ágeis e das mudanças em engenharia e arquitetura, as práticas DevOps, que mudam essa visão por meio da colaboração contínua, automação e radical transparência. Já o DevSecOps, um próximo nível em DevOps, seria a cereja do bolo, a segurança no centro do desenvolvimento

No entanto, não sem problemas. Segundo levantamento do Enterprise Strategy Group - ESG sobre a colaboração entre profissionais de segurança e desenvolvimento o cenário é esse: 

  • 48% dos respondentes levam códigos vulneráveis para a produção por pressão de tempo 
  • programas de treinamentos em segurança para desenvolvedores são irregulares 
  • proliferação de ferramentas afeta a governança. 

Una a isso os resultados do levantamento da Oracle com a KPMG, segundo o qual 66% dos respondentes que usam, planejam usar ou estão interessados em usar DevOps afirmam que não consideram ter integrado a segurança em suas práticas, e temos um quadro ainda bem incipiente. 

Uma vantagem, apesar desse cenário, é que vontade de investir não falta. Mais de 50% das organizações pretendem aumentar o investimento em segurança, segundo a ESG. 

Pensando nisso, neste guia DevSecOps, trataremos dos principais pontos de discussão sobre o tema. 

Do DevOps ao DevSecOps 

Todos querem aumentar a visibilidade, reduzir os ciclos de vida de desenvolvimento e entregar continuamente. E a maioria dos times já sabe que o DevOps, se bem-feito, pode ajudar a realizar esses objetivos. 

Não por acaso a cultura assim como as práticas DevOps já não são mais exclusivas de poucos times, em particular os cloud nativos. Elas estão bem consolidadas e difundidas pelas organizações.  

Isso é confirmado por pesquisa da Oracle & KPMG, que mostra que, rapidamente, as práticas DevOps têm se tornado a abordagem standard de construção de softwares e de implantação de funcionalidades: quase 1/3 das organizações já utilizam e quase ¼ das que ainda não usam pretendem fazê-lo entre os próximos dois anos. 

Porém, cada vez mais, as organizações têm notado a forte relação entre segurança e engenharia. Sobretudo pós-ascenção da cloud computing e da arquitetura de microsserviços, que, embora tenham facilitado e viabilizado o adoção do DevOps, trouxeram uma série de novas ameaças, especialmente associadas com configuração e autenticação. 

O problema é tal que ¼ das organizações, segundo levantamento da Sonatype, suspeita ou verificaram um problema de segurança no último ano. E 48%, de acordo com estudo da ESG, afirma manter códigos vulneráveis regularmente. 

Isso levou ao acréscimo do quesito “Sec”, ou seja, “segurança” a essa equação. Este é, digamos, um próximo nível. Para muitos, desnecessário dentro do termo, já que DevOps incluiria a segurança no seu bojo. Terminologias à parte, DevSecOps incorpora a segurança ao DevOps. 

O que é DevSecOps? 

DevSecOps é um meio de integrar a segurança ao processo de desenvolvimento e também um mindset em que a segurança é considerada como responsabilidade de todos os envolvidos na construção de uma grande aplicação.  

Como um conjunto de processos e ferramentas, o DevSecOps busca a automatização pela integração de ferramentas que compõem o ciclo de vida de desenvolvimento, repositórios, ferramentas de construção automatizada, sistemas de gestão de projetos ágil e plataformas de colaboração. 

Isso se alinha à definição da Oracle & KPMG de DevSecOps como “automatizar processos e controles de cibersegurança via integração com o conjunto de ferramentas de integração contínua e de entrega contínua (CI/CD) que orquestra o ciclo de vida do software (SDLC)”. 

E com a definição da Gartner: 

DevSecOps é a integração da segurança em times ágeis de TI e no desenvolvimento DevOps, tão contínua e transparentemente quanto possível. Idealmente, isso é feito sem que se reduza a agilidade ou a velocidade de desenvolvedores e sem que eles deixem seu ambiente de ferramentas de desenvolvimento. 

Como um mindset, no entanto, o DevSecOps não envolve apenas um conjunto de processos e ferramentas, mas de pessoas. Pessoas que veem a segurança não apenas como um passo final ou um ponto de uma checklist, mas sim como algo que permeia todo o ciclo de desenvolvimento. 

Ná prática, trata-se de incluir a preocupação com a segurança mais cedo no processo de desenvolvimento, desde o levantamento de requisitos e planejamento ao desenvolvimento, teste, implementação e lançamento. De modo que os praticantes de DevSecOps trabalharão lado a lado com desenvolvedores em todo o ciclo de desenvolvimento, e não só no final. 

Benefícios do DevSecOps 

Segundo o GitLabs’s Global Developer Report, times maduros em DevSecOps conseguem identificar vulnerabilidades 3 vezes mais cedo e testar em um nível de 91% a 100% de código.  Há mais benefícios:

  • Integrar controles de segurança no conjunto de ferramentas de integração e entrega contínua 
  • Promover um alto nível de colaboração entre profissionais de desenvolvimento, infraestrutura, produto e cibersegurança 
  • Ganhar eficiência operacional e automação, aumentando a velocidade de entrega de novas aplicações e funcionalidades  
  • Garantir que o negócio alcance e mantenha o compliance com regulamentações do setor 
  • Aumentar a cobertura e efetividade dos processos de segurança 
  • Aumentar a qualidade do software 
  • Encurtar os ciclos de testes
  • Reduzir o débito de segurança, porque é mais barato consertar bugs assim que eles surgem. 

Por que implementar práticas DevSecOps? 

Vários são os motivos pelos quais as organizações buscam a implementação de práticas DevSecOps. De acordo com o 2020 DevSecOps Community Survey os principais são: 

  • Gestão de riscos 
  • Atender a requisitos de compliance 
  • Melhoria da qualidade 
  • Atender a demandas de clientes 
  • Vantagem competitiva. 

Ferramentas DevSecOps 

Não há apenas uma ferramenta DevSecOps, que seja capaz de cobrir todas as necessidades em termos de segurança. Normalmente, as organizações utilizam uma espécie de coquetel de ferramentas DevSecOps que satisfaz suas necessidades. Normalmente, ele envolve itens como: 

  • CSA – Container Security 
  • IAST – Interactive Application Security Testing 
  • RASP – Runtime Application Self Protection 
  • DLP – Data Loss Prevention 
  • SAST – Static Analysis Security Testing 
  • WAF – Web Application Firewall 
  • OSS – Open Source Software Governance 
  • IDS/IPS – Intrusion Detection/Protection System 
  • AVS – APIs Security Vulnerabilities  
  • SAT – Static Application Security Testing 
  • SCA – Software Composition Analysis 
  • DAST – Dynamic Analysis Security Testing 

4 desafios da implementação do DevSecOps 

1. Métricas e objetivos diferentes 

Segundo pesquisa da GitLab, 49% dos profissionais de segurança afirmam ter dificuldades para fazer com que desenvolvedores priorizem o ajuste de vulnerabilidades. Mais: 68% acha que menos da metade dos desenvolvedores é capaz de perceber vulnerabilidades após o ciclo de vida, mas só depois do código ser levado ao ambiente de testes. 

Por outro lado, o mesmo estudo mostra que 69% dos desenvolvedores indicam que creem escrever códigos seguros. 

Esse tipo de problema está enraizado no tradicional design organizacional, baseado na divisão de ferramentas, responsabilidades, times e processos. Além disso, segurança requer uma triagem constante do potenciais riscos, o que do ponto de vista do desenvolvimento pode ser uma perda relevante de tempo. 

Isso aponta para uma distinção de objetivos e de métricas relevantes e, portanto, impede os envolvidos de colaborar. 

2. Skill 

A maioria dos engenheiros não tem expertise em segurança, assim como a maioria dos profissionais da segurança também tem conhecimento limitado de processos de desenvolvimento, ferramentas etc. 

A primeira dificuldade, portanto, é complementar cada um desses grupos com as skills do outro – embora isso ofereça tremendo valor já que desenvolvedores serão capazes de implementar boas práticas de segurança em suas atividades, e profissionais de segurança, de oferecer recursos com compreensão maior de suas implicações sobre o sistema. 

3. Riscos de arquitetura 

No caso de uma arquiteturas como serverless, microsserviços e cloud, embora o provedor seja responsável pela segurança, a preocupação não é eliminada.  

4. Profusão de ferramentas 

A proliferação de ferramentas tem gerado dificuldades em gestão e integração. Essa complexidade pode gerar fricções e atrasos no ciclo de desenvolvimento, além de dificuldade de tirar proveito dos achados das ferramentas, afetando a efetividade de programas DevSecOps. 

DevSecOps: ferramentas, processos e cultura 

Junto com a transparência, colaboração e automação do DevOps, o DevSecOps mostra que a segurança não pode ser vista como um ponto de parada, mas como a viagem inteira – sob pena de chegar tarde demais ou de falhar.  

Quando todos os envolvidos em levantar requisitos, construir, testar e entregar uma aplicação podem de fato ver tudo, trabalhar juntos na mesma coisa e automatizar tudo que seja possível, o resultado final é isto que todos desejam: uma aplicação mais segura. 

Governança e compliance, hoje mais do que nunca, são vistas como vantagens competitivas, fundamentais para um cultura voltada ao cliente e à geração de valor. 

Quer receber mais conteúdos como este? Assine nossa newsletter. E para conversar diretamente com um dos nossos consultores, entre agora mesmo em contato conosco


Escrito por Marketing

Outras Postagens

Crie soluções personalizadas e integradaspara todas as áreas da sua empresa

Quero Saber mais

Fique Atualizado Assine nossa Newsletter

Oportunidades Participe dos melhores projetos!

Se você está em busca de um ambiente descontraído, cheio de oportunidades de crescimento e em constante evolução, confira as oportunidades!

Saiba Mais

Cadastro por interesse

Nosso time está pronto para entender o seu negócio e auxiliá-lo a encontrar a melhor solução.

Deixe seu melhor e-mail abaixo que entraremos em contato.

Indique este post para alguém...

Inscreva-se em nossa newsletter.