Em muitas organizações, o DevOps funcionava separadamente da segurança. Com o aumento da velocidade de desenvolvimento e implantação, os controles de segurança geralmente são deixados em segundo plano. No entanto, o movimento DevSecOps para incluir a segurança o mais cedo possível está dando resultados.
DevOps é um conjunto de práticas que emprega processos de integração contínua, eliminando os silos entre o desenvolvimento de software e as operações de TI.
Tradicionalmente, muitas organizações separavam equipes por função para desenvolver, implantar e governar aplicativos dentro de uma infraestrutura. No entanto, a corrida para inovar e transformar digitalmente um negócio acelerou o ritmo de produção e lançamento de novos recursos. A segurança geralmente é deixada de lado, o que reduz a qualidade e deixa muitos clientes insatisfeitos. Adicionar uma alteração no código do aplicativo perto do fim do ciclo de desenvolvimento não é apenas extremamente custoso (devido a testes adicionais e recertificação), mas também reforça a percepção comum de que “a segurança nos atrasa”.
À medida que os tempos de ciclo aceleram e as equipes de desenvolvimento adotam metodologias mais ágeis para lançar software mais rapidamente, a integração contínua por meio do DevOps visa entregar lançamentos mais frequentes, com mais novos recursos ao mercado, mais rapidamente. É tudo uma questão de velocidade.
Usar as melhores práticas de segurança no início do ciclo de vida de desenvolvimento de software pode criar efeitos positivos drásticos em custos e eficiência. No entanto, em muitas organizações, as equipes de segurança continuam existindo em um silo, assim como as equipes de desenvolvimento e operações operavam em silos antes do movimento DevOps. Por isso, surgiu um movimento ainda mais novo que infunde segurança no processo de integração/implantação contínua: DevSecOps (Opções de desenvolvimento e segurança).
A popularidade crescente do movimento DevSecOps se deve em grande parte a uma metodologia chamada “shifting left”. “Shifting left” é onde as equipes de desenvolvimento de software se concentram em código robusto desde o início. Esse método afasta a segurança de sua função reativa de guardiã e a aproxima de uma função preventiva. As equipes de segurança fornecem orientação e suporte às equipes de desenvolvimento e incorporam a automação de segurança ao pipeline de desenvolvimento de Integração Contínua/Entrega Contínua (CI/CD) o mais rápido possível.
Em um ambiente DevSecOps, a segurança é uma responsabilidade compartilhada que gera muito mais colaboração e feedback, quebra as barreiras entre desenvolvimento, operações e segurança, para levar os recursos ao mercado mais rapidamente, com menor custo e maior eficiência.
Mesmo com a segurança como uma responsabilidade compartilhada, as equipes de segurança não podem esperar que os desenvolvedores se tornem especialistas em segurança instantaneamente e tomem as decisões corretas de controle de segurança na primeira oportunidade que tiverem. Assim como o DevOps, o DevSecOps é uma filosofia que exige uma mudança cultural na maneira como os aplicativos são desenvolvidos e implantados. No entanto, se as equipes de segurança se concentrarem nas cinco áreas abaixo, elas poderão reduzir custos, aumentar a eficiência e melhorar a capacidade de escala:
DESLOCAMENTO PARA A ESQUERDA
e incorporar segurança ao processo o mais cedo possível no ciclo de vida do desenvolvimento.
FAÇA DO CAMINHO SEGURO O CAMINHO FÁCIL
concentrando-se em fornecer controles de segurança empacotados e sem atrito que são incorporados ao pipeline do desenvolvedor (CI/CD).
QUEBRE SILOS
para aumentar a colaboração e o feedback entre equipes de desenvolvimento, operações e segurança (App Devs, DevOps e SecOps).
CUIDE DOS CAMPEÕES DA SEGURANÇA
dentro de suas equipes de desenvolvimento para manter a segurança em mente.
CRIAR UM PIPELINE DE CONSTRUÇÃO
para construir controles de segurança e testes na mesma ferramenta que o desenvolvedor usa. Dessa forma, os controles são aplicados de forma automática e consistente, e as equipes de desenvolvimento não precisam depender das equipes de segurança para cada novo lançamento.