Entenda o que é, benefícios, por que implementar, desafios e ferramentas DevSecOps
Se na esteira das metodologias ágeis e das mudanças em engenharia e arquitetura, as práticas DevOps alavancaram o desenvolvimento de software por meio da colaboração contínua, automação e radical transparência, a DevSecOps tenta expandir esses princípios trazendo questões de segurança para o centro do desenvolvimento .
No entanto,a realidade ainda não é de colaboração entre segurança e desenvolvimento. Segundo o levantamento do Enterprise Strategy Group - ESG, o cenário é esse:
- 48% dos respondentes levam códigos vulneráveis para a produção por pressão de tempo
- programas de treinamentos em segurança para desenvolvedores são irregulares
- a proliferação de ferramentas afeta a governança.
Una a isso os resultados do levantamento da Oracle com a KPMG, segundo o qual 66% dos respondentes que usam, planejam usar ou estão interessados em usar DevOps afirmam que não consideram ter integrado a segurança em suas práticas, e temos um quadro ainda bem incipiente em DevSecOps .
Uma vantagem, apesar desse cenário, é que vontade de investir na prática não falta. Mais de 50% das organizações pretendem aumentar o investimento em segurança, segundo a ESG.
Pensando nisso, neste guia DevSecOps, trataremos dos principais pontos de discussão sobre o tema.
Do DevOps ao DevSecOps
Todos querem aumentar a visibilidade, reduzir os ciclos de vida de desenvolvimento e entregar continuamente. E a maioria dos times já sabe que o DevOps, se bem-feito, pode ajudar a realizar esses objetivos.
Não por acaso a cultura DevOps assim como as práticas DevOps já não são mais exclusivas de poucos times, em particular os cloud nativos. Elas estão bem consolidadas e difundidas pelas organizações.
Isso é confirmado por pesquisa da Oracle & KPMG, que mostra que, rapidamente, as práticas DevOps têm se tornado a abordagem standard de construção de softwares e de implantação de funcionalidades: quase 1/3 das organizações já utilizam e quase ¼ das que ainda não usam pretendem fazê-lo entre os próximos dois anos.
Porém, cada vez mais, as organizações têm notado a forte relação entre segurança e engenharia. Sobretudo pós-ascenção da cloud computing e da arquitetura de microsserviços, que, embora tenham facilitado e viabilizado a adoção do DevOps, trouxeram uma série de novas ameaças, especialmente associadas com configuração e autenticação.
O problema é tal que ¼ das organizações, segundo levantamento da Sonatype, suspeitam ou verificaram um problema de segurança no último ano. E 48%, de acordo com estudo da ESG, afirma manter códigos vulneráveis regularmente.
Isso levou ao acréscimo do quesito “Sec”, ou seja, “segurança” a essa equação. Este é, digamos, um próximo nível. Para muitos, desnecessário dentro do termo, já que DevOps incluiria a segurança no seu bojo. Terminologias à parte, DevSecOps incorpora a segurança ao DevOps.
Leia também: Segurança na nuvem: que riscos sua organização corre?
O que é DevSecOps?
DevSecOps é um meio de integrar a segurança ao processo de desenvolvimento e também um mindset em que a segurança é considerada responsabilidade de todos os envolvidos na construção de uma grande aplicação.
Como um conjunto de processos e ferramentas, o DevSecOps busca a automatização pela integração de ferramentas que compõem o ciclo de vida de desenvolvimento, repositórios, ferramentas de construção automatizada, sistemas de gestão de projetos ágil e plataformas de colaboração.
Isso se alinha à definição da Oracle & KPMG de DevSecOps como “automatizar processos e controles de cibersegurança via integração com o conjunto de ferramentas de integração contínua e de entrega contínua (CI/CD) que orquestra o ciclo de vida do software (SDLC)”.
E com a definição da Gartner:
DevSecOps é a integração da segurança em times ágeis de TI e no desenvolvimento DevOps, tão contínua e transparentemente quanto possível. Idealmente, isso é feito sem que se reduza a agilidade ou a velocidade de desenvolvedores e sem que eles deixem seu ambiente de ferramentas de desenvolvimento.
Como um mindset, no entanto, o DevSecOps não envolve apenas um conjunto de processos e ferramentas, mas de pessoas. Pessoas que veem a segurança não apenas como um passo final ou um ponto de uma checklist, mas sim como algo que permeia todo o ciclo de desenvolvimento.
Na prática, trata-se de incluir a preocupação com a segurança mais cedo no projeto, desde o levantamento de requisitos e planejamento ao desenvolvimento, teste, implementação e lançamento. De modo que os praticantes de DevSecOps trabalharão lado a lado com desenvolvedores em todo o ciclo de desenvolvimento, e não só no final.
Saiba mais: Quais as tendências em segurança dos softwares?
DevSecOps vs DevOps
Assim como DevOps, as práticas DevSecOps consistem em uma abordagem cultural focada na adesão das equipes para criar um contexto compartilhado no desenvolvimento de aplicativos.
A diferença principal entre eles são as considerações de segurança. Enquanto o DevOps foca em oferecer um produto melhor, mais adaptável e mais rápido, o DevSecOps adiciona segurança a essa combinação.
Com principal objetivo de entregar o serviço de forma contínua e segura, o DevSecOps surge para preencher as lacunas de responsabilidade com a segurança deixadas com o DevOps.
O elemento de segurança do DevSecOps refere-se à prática de alternar para a esquerda para garantir que os recursos de segurança sejam totalmente integrados em um aplicativo desde o início, o que garante que ninguém pode invadir o aplicativo.
Dessa forma, proteger o ambiente DevOps pode evitar problemas durante o processo de desenvolvimento, como o acesso de pessoas erradas a uma seção de código ou a proteção dos contêineres comumente usados para segmentar aplicativos atualmente.
O que se espera é que conforme as práticas de DevSecOps amadurecem, as ferramentas relacionadas, os processos de governança, a conscientização do desenvolvedor, o conhecimento e o treinamento também sejam atualizados com frequência.
Benefícios do DevSecOps
Incluir a segurança ao DevOps por meio de uma abordagem de DevSecOps é uma maneira de gerar uma aplicação mais segura em todo o processo de desenvolvimento, entrega e operação.
Ou seja, o DevSecOps aumenta a cobertura e efetividade dos processos de segurança, encurtando os ciclos de teste e assim garantindo mais qualidade ao software.
Segundo o GitLabs’s Global Developer Report, times maduros em DevSecOps conseguem identificar vulnerabilidades 3 vezes mais cedo e testar em um nível de 91% a 100% de código. Há mais benefícios:
- Integrar controles de segurança no conjunto de ferramentas de integração e entrega contínua
- Promover um alto nível de colaboração entre profissionais de desenvolvimento, infraestrutura, produto e cibersegurança
- Ganhar eficiência operacional e automação, aumentando a velocidade de entrega de novas aplicações e funcionalidades
- Garantir que o negócio alcance e mantenha o compliance com regulamentações do setor
- Aumentar a cobertura e efetividade dos processos de segurança
- Aumentar a qualidade do software
- Encurtar os ciclos de testes
- Reduzir a dívida de segurança, porque é mais barato consertar bugs assim que eles surgem.
Veja: Dívida técnica: como lidar com esse passivo
Por que implementar práticas DevSecOps?
Vários são os motivos pelos quais as organizações buscam a implementação de práticas DevSecOps. De acordo com o 2020 DevSecOps Community Survey os principais são:
- Gestão de riscos, com identificação antecipada de vulnerabilidades no código;
- Atender a requisitos de compliance, com maior comunicação e colaboração entre os times;
- Melhoria da qualidade, com mais oportunidade de construções automatizadas;
- Atender a demandas de clientes, com capacidade de respostas mais rápidas;
- Maior agilidade e velocidade para equipes de segurança;
- Vantagem competitiva, com os membros da equipe sendo liberados para atuar em trabalhos de alto valor.
Além disso, o aumento de ciberataques no Brasil, que crescem em frequência e complexidade, desde o início da pandemia, trouxe a segurança de dados como uma das prioridades de CIOs e CISOs.
Saiba também: Quais as hard skills mais procuradas pelos CIOs?
Ferramentas DevSecOps
Não há apenas uma ferramenta DevSecOps, que seja capaz de cobrir todas as necessidades em termos de segurança. Normalmente, as organizações utilizam uma espécie de coquetel de ferramentas DevSecOps que satisfaz suas necessidades. Normalmente, ele envolve itens como:
- CSA – Container Security
- IAST – Interactive Application Security Testing
- RASP – Runtime Application Self Protection
- DLP – Data Loss Prevention
- SAST – Static Analysis Security Testing
- WAF – Web Application Firewall
- OSS – Open Source Software Governance
- IDS/IPS – Intrusion Detection/Protection System
- AVS – APIs Security Vulnerabilities
- SAT – Static Application Security Testing
- SCA – Software Composition Analysis
- DAST – Dynamic Analysis Security Testing
Confira: Como recrutamos profissionais de TI?
4 desafios da implementação do DevSecOps
1. Métricas e objetivos diferentes
Segundo pesquisa da GitLab, 49% dos profissionais de segurança afirmam ter dificuldades para fazer com que desenvolvedores priorizem o ajuste de vulnerabilidades. Mais: 68% acha que menos da metade dos desenvolvedores é capaz de perceber vulnerabilidades após o ciclo de vida, mas só depois do código ser levado ao ambiente de testes.
Por outro lado, o mesmo estudo mostra que 69% dos desenvolvedores indicam que creem escrever códigos seguros.
Esse tipo de problema está enraizado no tradicional design organizacional, baseado na divisão de ferramentas, responsabilidades, times e processos. Além disso, segurança requer uma triagem constante de potenciais riscos, o que do ponto de vista do desenvolvimento pode ser uma perda relevante de tempo.
Isso aponta para uma distinção de objetivos e de métricas relevantes e, portanto, impede os envolvidos de colaborar.
2. Skill
A maioria dos engenheiros não tem expertise em segurança, assim como a maioria dos profissionais da segurança também tem conhecimento limitado de processos de desenvolvimento, ferramentas etc.
A primeira dificuldade, portanto, é complementar cada um desses grupos com as skills do outro – embora isso ofereça tremendo valor já que desenvolvedores serão capazes de implementar boas práticas de segurança em suas atividades, e profissionais de segurança, de oferecer recursos com compreensão maior de suas implicações sobre o sistema.
3. Riscos de arquitetura
No caso de uma arquiteturas como serverless, microsserviços e cloud, embora o provedor seja responsável pela segurança, a preocupação não é eliminada.
4. Profusão de ferramentas
A proliferação de ferramentas tem gerado dificuldades em gestão e integração. Essa complexidade pode gerar fricções e atrasos no ciclo de desenvolvimento, além de dificuldade de tirar proveito dos achados das ferramentas, afetando a efetividade de programas DevSecOps.
DevSecOps: ferramentas, processos e cultura
Junto com a transparência, colaboração e automação do DevOps, o DevSecOps mostra que a segurança não pode ser vista como um ponto de parada, mas como a viagem inteira – sob pena de chegar tarde demais ou de falhar.
Quando todos os envolvidos em levantar requisitos, construir, testar e entregar uma aplicação podem de fato ver tudo, trabalhar juntos na mesma coisa e automatizar tudo que seja possível, o resultado final é isto que todos desejam: uma aplicação mais segura.
Governança e compliance, hoje mais do que nunca, são vistas como vantagens competitivas, fundamentais para uma cultura voltada ao cliente e à geração de valor.
Quer receber mais conteúdos como este? Assine nossa newsletter. E para conversar diretamente com um dos nossos consultores, entre agora mesmo em contato conosco.
