Linkedin Facebook Instagram Youtube Twitter

A Desconstrução do DevSecOps

Você saberia dizer o que exatamente é DevSecOps? Muitas empresas acreditam que sim, mas não é o que a realidade mostra. Sem clareza, têm dificuldade para executar o ideal do DevSecOps: integrar a segurança no pipeline de maneira harmoniosa e eficiente.

Neste cenário de confusão, é importante dar um passo atrás e desconstruir o conceito, antes de avançar.

“DevSecOps” ou “DevOps + Sec”?

O termo DevSecOps é, como você pode imaginar, uma espécie de variante do DevOps, em que a Segurança aparece no meio do Desenvolvimento e das Operações. Mas essa explicação não é suficiente para solucionar o problema.

Existem pelo menos 3 formas de categorizar o DevSecOps:

  • Uma maneira como a organização aborda seus produtos;
  • Um framework organizacional;
  • Um processo de shift-left técnico e cultural dentro do ambiente de desenvolvimento.

A falta de clareza conceitual dificulta sua implementação, e na maioria das organizações o DevSecOps permanece como um ideal vago e jamais atingido.

A abordagem DevOps + Sec

Uma solução proposta por Davey Winder, autor de diversos livros de tecnologia, é tratar o DevSecOps como uma colaboração conjunta entre dois conjuntos de equipes: DevOps e Segurança. Ele chama isso de “DevOps-centric approach” (ou “abordagem centrada em DevOps”).

Em artigo publicado na Forbes, Winder aponta uma aparente contradição: “(…) pede-se que as equipes de DevOps aprimorem a tecnologia usada (como, por exemplo, o fortalecimento de autenticação do cliente), mas frequentemente sem o apoio total das equipes de segurança, e isso introduz novos riscos em potencial”.

Como resolver esse tipo de problema? De cima para baixo, uma avaliação organizacional de riscos para priorizar as tarefas de segurança de software; e, de baixo para cima, uma modelagem que ajude a incorporar as melhorias.

Para ser colocada em prática, essa modelagem depende também de uma boa seleção de ferramentas, que possam ser usadas em harmonia e que permitam a colaboração entre as equipes de DevOps e de Segurança.

Com essa abordagem, as equipes de DevOps têm acesso a ferramentas de segurança que permitem solucionar vulnerabilidades durante o desenvolvimento; e as equipes de Segurança têm acesso tanto às informações sobre as vulnerabilidades quanto às estratégias para remediá-las, podendo atuar com mais precisão.

“Riscos de segurança estão em todo o ciclo de vida do software”, ressalta Winder. “Entender este nível de maturidade é essencial para uma abordagem centrada em DevOps, em que um shift right (para quando o código pode ser operado) é tão importante quanto o shift left de antigamente”.

Mantendo a classificação que mencionamos anteriormente, é possível classificar a solução de Winder como um framework organizacional.

A abordagem DevSecOps

Outra maneira de enxergar (e aplicar) o DevSecOps é como um conjunto de atividades que fortalecem a segurança em todo o pipeline de desenvolvimento. Cada equipe colabora de uma maneira, e a sinergia depende tanto de ferramentas quanto de cultura.

Como exemplos de ações neste paradigma, temos:

  • A equipe de desenvolvedores deve manter versões de seus códigos e seguir um processo de revisão por pares antes de movê-los para outros ambientes. Não há monopólio de responsabilidade pelos updates de código ou ambiente (há equipes separadas para desenvolvimento, testes, aplicação etc.);
  • A equipe de operações dá apoio a todo o processo de desenvolvimento, o que inclui fazer a manutenção e a atualização do ambiente de operações, definir e implementar o processo de aplicação, e manter registros detalhados dos processos de DevSecOps;
  • A equipe de segurança identifica e elimina as vulnerabilidades. Caso algum problema chegue até a produção, os registros (citados no item anterior) ajudam a entender o que aconteceu.

Naturalmente, este esquema é apenas um ponto de partida, e cabe aos gestores elaborar planos mais detalhados, que levem em conta as particularidades da organização. Implementar o DevSecOps não é uma ação rápida e nem pontual – e, quanto mais mudanças forem necessárias, mais desafiador é o processo.

Se a segurança é vista apenas como “mais uma etapa do pipeline”, ou como “responsabilidade exclusiva de uma equipe”, por exemplo, fica difícil abrir espaço para o DevSecOps.

Outro desafio comum diz respeito a ferramentas: para alcançar a sinergia entre as equipes, pode ser necessário adotar novas ferramentas ou abandonar algumas que estão sendo usados há muito tempo na organização.

Seja qual for a situação, porém, os diversos benefícios do DevSecOps fazem o esforço valer:

  • Facilidade na identificação e correção precoce de vulnerabilidades;
  • Aumento no controle de qualidade;
  • Aumento na velocidade e na agilidade das equipes de desenvolvimento;
  • Aumento na segurança do produto
  • Melhoria geral na comunicação entre as equipes.

Essa abordagem pode ser classificada como um shift-left técnico e cultural.

Seja qual for a visão escolhida, a implementação do DevSecOps se torna mais simples e viável quando você conta com profissionais experientes em transformação digital. Clique aqui e agende uma conversa com um especialista Prime Control e tenha acesso a esse apoio.

Relatórios

Faça o download gratuito de ebooks e relatórios em nosso catálogo de conteúdos especiais.
Baixe agora
GRÁTIS

Newsletter

Assine nossa newsletter e seja avisado sobre novos artigos, cases, eventos e muito mais.

Agende uma Conversa
Trabalhe Conosco
Assine nossa newsletter

RECONHECIMENTOS

Nosso Propósito

Vamos fazer do mundo digital um lugar melhor!

A Prime Control nasceu com o propósito de fazer do mundo digital um lugar melhor. O digital cresceu tanto que é difícil imaginar nossas vidas sem Internet, apps, ecommerce, mídias sociais, bancos digitais e mais uma série de coisas incríveis, não é mesmo? Então, melhorar o mundo digital significa melhorar uma parte importante da vida das pessoas.

Sobre a Prime Control

Mais acessados

Localização

R. Imaculada Conceição, 1430
Prado Velho – Curitiba – PR

Telefone: (41) 3253-0521

Linkedin Facebook Instagram Youtube

Website desenvolvido por DRB.MKT

E-books e Relatórios

Conheça nossa base de ebooks, artigos, relatórios e cases. Aprenda sobre as boas práticas de testes, qualidade de software e muito mais.

Tudo disponível para download gratuitamente.

Conheça Agora ⟶