De acordo com a Gartner , DevSecOps está se tornando um dos tópicos mais quentes. Mas quantos profissionais de TI entendem isso? Não, não é o DevOps em si; ele não fala sobre como mudar do desenvolvimento tradicional em cascata para o desenvolvimento ágil baseado em scrum. E não é um tópico puramente de segurança. Então, como uma conferência DevSecOps seria diferente dos eventos usuais de segurança e DevOps?
Em fevereiro, eu descobri. Participei da DevSecCon em Cingapura. Os participantes e palestrantes foram divididos entre profissionais de segurança e desenvolvimento, então foi uma mistura muito boa entre esses dois campos. Deixe-me compartilhar três lições aprendidas nas sessões das quais participei (com algumas citações selecionadas de desenvolvedores na conferência também):
Eles também disseram que, embora os desenvolvedores geralmente não priorizem a segurança, eles realmente precisam se encaixar no mundo da segurança. Os desenvolvedores apresentaram vários desafios com a proteção de aplicativos e exploraram como podem aproveitar a segurança em sua cultura ou estilo. O sentimento geral era a favor de incluir equipes de segurança em seus projetos. Alguém até sugeriu: “As equipes de segurança devem estar nas reuniões com os clientes o mais cedo possível, para que não precisem voltar mais tarde para encontrar os desafios.”
Esses três comentários sugerem que os profissionais de segurança podem e devem fazer parte das equipes de desenvolvimento. Eu diria que a luta que as equipes de segurança compartilharam foi o outro lado da moeda: a equipe de segurança quer saber como pode ser melhor defensora dos projetos DevOps. Eles sabem que não devem ser um obstáculo para o desenvolvimento e que também precisam implementar algumas das cadeias de ferramentas ou processos que o DevOps usa. É por isso que “Shift left” – a ideia que parecia ser um grande tópico na RSA Conference SFO 2019 também – foi amplamente mencionada neste evento. Isso é necessário não apenas porque os profissionais de segurança querem elevar seu valor, mas também porque veem essa como a única maneira de se adaptarem à era dos negócios digitais.
Outra questão que foi destacada foi a escassez de recursos e talentos. Como você pode ver por esses comentários, cargos de segurança de aplicativos não são fáceis de preencher. As equipes de segurança lutam para escalar enquanto suas organizações se concentram em acelerar o desenvolvimento para atender às necessidades dos negócios. É claro que a cadeia de ferramentas e a automação devem preencher essa lacuna, tornando o trabalho da equipe de segurança escalável e mais rápido. Senti que essa deveria ser apenas a primeira fase. A longo prazo, tanto os trabalhos de DevOps quanto os de segurança devem ser simplificados o suficiente para que tanto os talentos de DevOps quanto os de segurança possam desempenhar ambas as funções.
***
A cultura dentro deste espaço não é fácil de mudar, mas todos sabem que isso é necessário. Foi interessante ver como palestrantes das equipes de segurança e desenvolvimento tinham temas, dificuldades e sugestões em comum. A ideia compartilhada: é sobre como desenvolvedores e profissionais de segurança se unem como uma única equipe com os mesmos objetivos. A boa notícia é que muitos fornecedores de cadeias de ferramentas e provedores de soluções agora se concentram nessa abordagem simplificada. É uma espécie de democratização das tecnologias de engenharia de software, bem como das soluções de segurança. Então, estamos todos caminhando nessa direção.