Você saberia dizer o que exatamente é DevSecOps? Muitas empresas acreditam que sim, mas não é o que a realidade mostra. Sem clareza, têm dificuldade para executar o ideal do DevSecOps: integrar a segurança no pipeline de maneira harmoniosa e eficiente.
Neste cenário de confusão, é importante dar um passo atrás e desconstruir o conceito, antes de avançar.
“DevSecOps” ou “DevOps + Sec”?
O termo DevSecOps é, como você pode imaginar, uma espécie de variante do DevOps, em que a Segurança aparece no meio do Desenvolvimento e das Operações. Mas essa explicação não é suficiente para solucionar o problema.
Existem pelo menos 3 formas de categorizar o DevSecOps:
- Uma maneira como a organização aborda seus produtos;
- Um framework organizacional;
- Um processo de shift-left técnico e cultural dentro do ambiente de desenvolvimento.
A falta de clareza conceitual dificulta sua implementação, e na maioria das organizações o DevSecOps permanece como um ideal vago e jamais atingido.
A abordagem DevOps + Sec
Uma solução proposta por Davey Winder, autor de diversos livros de tecnologia, é tratar o DevSecOps como uma colaboração conjunta entre dois conjuntos de equipes: DevOps e Segurança. Ele chama isso de “DevOps-centric approach” (ou “abordagem centrada em DevOps”).
Em artigo publicado na Forbes, Winder aponta uma aparente contradição: “(…) pede-se que as equipes de DevOps aprimorem a tecnologia usada (como, por exemplo, o fortalecimento de autenticação do cliente), mas frequentemente sem o apoio total das equipes de segurança, e isso introduz novos riscos em potencial”.
Como resolver esse tipo de problema? De cima para baixo, uma avaliação organizacional de riscos para priorizar as tarefas de segurança de software; e, de baixo para cima, uma modelagem que ajude a incorporar as melhorias.
Para ser colocada em prática, essa modelagem depende também de uma boa seleção de ferramentas, que possam ser usadas em harmonia e que permitam a colaboração entre as equipes de DevOps e de Segurança.
Com essa abordagem, as equipes de DevOps têm acesso a ferramentas de segurança que permitem solucionar vulnerabilidades durante o desenvolvimento; e as equipes de Segurança têm acesso tanto às informações sobre as vulnerabilidades quanto às estratégias para remediá-las, podendo atuar com mais precisão.
“Riscos de segurança estão em todo o ciclo de vida do software”, ressalta Winder. “Entender este nível de maturidade é essencial para uma abordagem centrada em DevOps, em que um shift right (para quando o código pode ser operado) é tão importante quanto o shift left de antigamente”.
Mantendo a classificação que mencionamos anteriormente, é possível classificar a solução de Winder como um framework organizacional.
A abordagem DevSecOps
Outra maneira de enxergar (e aplicar) o DevSecOps é como um conjunto de atividades que fortalecem a segurança em todo o pipeline de desenvolvimento. Cada equipe colabora de uma maneira, e a sinergia depende tanto de ferramentas quanto de cultura.
Como exemplos de ações neste paradigma, temos:
- A equipe de desenvolvedores deve manter versões de seus códigos e seguir um processo de revisão por pares antes de movê-los para outros ambientes. Não há monopólio de responsabilidade pelos updates de código ou ambiente (há equipes separadas para desenvolvimento, testes, aplicação etc.);
- A equipe de operações dá apoio a todo o processo de desenvolvimento, o que inclui fazer a manutenção e a atualização do ambiente de operações, definir e implementar o processo de aplicação, e manter registros detalhados dos processos de DevSecOps;
- A equipe de segurança identifica e elimina as vulnerabilidades. Caso algum problema chegue até a produção, os registros (citados no item anterior) ajudam a entender o que aconteceu.
Naturalmente, este esquema é apenas um ponto de partida, e cabe aos gestores elaborar planos mais detalhados, que levem em conta as particularidades da organização. Implementar o DevSecOps não é uma ação rápida e nem pontual – e, quanto mais mudanças forem necessárias, mais desafiador é o processo.
Se a segurança é vista apenas como “mais uma etapa do pipeline”, ou como “responsabilidade exclusiva de uma equipe”, por exemplo, fica difícil abrir espaço para o DevSecOps.
Outro desafio comum diz respeito a ferramentas: para alcançar a sinergia entre as equipes, pode ser necessário adotar novas ferramentas ou abandonar algumas que estão sendo usados há muito tempo na organização.
Seja qual for a situação, porém, os diversos benefícios do DevSecOps fazem o esforço valer:
- Facilidade na identificação e correção precoce de vulnerabilidades;
- Aumento no controle de qualidade;
- Aumento na velocidade e na agilidade das equipes de desenvolvimento;
- Aumento na segurança do produto
- Melhoria geral na comunicação entre as equipes.
Essa abordagem pode ser classificada como um shift-left técnico e cultural.
Seja qual for a visão escolhida, a implementação do DevSecOps se torna mais simples e viável quando você conta com profissionais experientes em transformação digital. Clique aqui e agende uma conversa com um especialista Prime Control e tenha acesso a esse apoio.