DevSecOps: 4 armadilhas que você deve evitar

A incorporação harmoniosa da segurança em todo o processo de desenvolvimento (ao invés de torná-la apenas “uma etapa a ser cumprida”) deveria ser prioridade em qualquer organização de tecnologia.

Contudo, é preciso discernimento e estratégia para não cair em armadilhas na adoção do DevSecOps. Confira a seguir quatro erros comuns nessa empreitada – e como evitá-los.

Erro 1: Não integrar compliance e segurança “ao código”

O acelerado crescimento do uso de ambientes em nuvem nos últimos anos tornou mais difícil para as equipes de segurança identificar e bloquear vulnerabilidades.

O pipeline de desenvolvimento se expandiu, e as organizações precisam integrar controles de segurança e compliance de modo a contemplá-lo por completo. Isso implica ter controles e práticas para tornar seguro o ciclo de desenvolvimento do software, bem como integrar checagens de segurança para captar vulnerabilidades e outras ameaças.

Um erro comum é o de deixar políticas de segurança “pegando poeira”, sem que ninguém as aprenda e aplique.

“Equipes de segurança devem aprender a codificar com base nessas políticas, ou usar chamadas de API para coletar informações de cada build e enviá-las para um tipo de inventário dedicado, de modo que seja fácil garantir que controles e processos estão sendo seguidos durante o ciclo de desenvolvimento”, orienta Eric Johnson, co-fundador e engenheiro de segurança na Puma Security, em entrevista ao TechBeacon.

Erro 2: Não aproveitar as ferramentas de segurança

Seja por falta de tempo ou de expertise, muitas organizações deixam de configurar de maneira apropriada suas ferramentas de escaneamento de código e de testes dinâmicos de aplicação.

Normalmente, a primeira varredura de uma ferramenta de escaneamento gera muitos falsos positivos ou resultados irrelevantes. É necessário taguear os falsos positivos, filtrar os resultados que de fato importam e ajustar a ferramenta para que se adeque ao ambiente da organização. Sem isso, boa parte do potencial deixa de ser aproveitado.

Considerando-se que novas vulnerabilidades são publicadas diariamente, e que sempre há o risco de alguma falha humana nos processos de desenvolvimento, negligenciar os relatórios de segurança pode ser fatal.

Erro 3: Ignorar a cultura

“Quando equipes começaram a implementar o DevOps (…), o ‘must-execute’ era cultural”, relembra Joni Klippert, co-fundador e CEO da StackHawk, em entrevista ao Enterprises Project. “O DevOps foi construído fundamentalmente em torno de colaboração, empatia e inovação. Equipes que falhavam em ajustar a cultura sofriam para implementar os itens táticos de construir, testar, entregar e executar continuamente aplicações. Com o DevSecOps não é diferente.”

Historicamente, desenvolvimento e segurança miravam em objetivos (aparentemente) incompatíveis: o primeiro focava em velocidade, enquanto o foco da segurança estava em diminuir riscos. “A verdade é que segurança é apenas mais uma parte da qualidade de código, e é do interesse de todas as equipes entregar o melhor código que puderem”, aponta Klippert.

“Equipes que focam na implementação tática sem examinar a cultura e tudo o que ela implica terão muita dificuldade.”

Erro 4: Adotar muitas ferramentas e práticas de uma vez

O grande aumento nas exigências de segurança digital nestes últimos anos pode levar muitos gestores a tentar adotar ferramentas de segurança rapidamente e com pouco planejamento. Isso tende a gerar disrupção desnecessária, prejudicar o andamento dos processos e, no fim das contas, não gerar a proteção e a qualidade de software desejadas.

É mais indicado introduzir uma solução de segurança de cada vez e se certificar de que os resultados são valiosos para as equipes que irão usá-la. Também é necessário (como mencionado nos itens 1 e 2) realizar ajustes de configurações para que as ferramentas se adequem ao ambiente da organização.

Realizar varreduras sem ter um propósito definido e sem avaliar os resultados cria uma falsa sensação de segurança e acaba gerando ruídos.

Quer realizar uma verdadeira transformação digital em sua organização, atingindo novos patamares de segurança e qualidade de software? Clique aqui e agende uma conversa com um de nossos especialistas.

Newsletter

Assine nossa newsletter e seja avisado sobre novos artigos, cases, eventos e muito mais.

E-books e Relatórios

Conheça nossa base de ebooks, artigos, relatórios e cases. Aprenda sobre as boas práticas de testes, qualidade de software e muito mais.

Tudo disponível para download gratuitamente.