A incorporação harmoniosa da segurança em todo o processo de desenvolvimento (ao invés de torná-la apenas “uma etapa a ser cumprida”) deveria ser prioridade em qualquer organização de tecnologia.
Contudo, é preciso discernimento e estratégia para não cair em armadilhas na adoção do DevSecOps. Confira a seguir quatro erros comuns nessa empreitada – e como evitá-los.
Erro 1: Não integrar compliance e segurança “ao código”
O acelerado crescimento do uso de ambientes em nuvem nos últimos anos tornou mais difícil para as equipes de segurança identificar e bloquear vulnerabilidades.
O pipeline de desenvolvimento se expandiu, e as organizações precisam integrar controles de segurança e compliance de modo a contemplá-lo por completo. Isso implica ter controles e práticas para tornar seguro o ciclo de desenvolvimento do software, bem como integrar checagens de segurança para captar vulnerabilidades e outras ameaças.
Um erro comum é o de deixar políticas de segurança “pegando poeira”, sem que ninguém as aprenda e aplique.
“Equipes de segurança devem aprender a codificar com base nessas políticas, ou usar chamadas de API para coletar informações de cada build e enviá-las para um tipo de inventário dedicado, de modo que seja fácil garantir que controles e processos estão sendo seguidos durante o ciclo de desenvolvimento”, orienta Eric Johnson, co-fundador e engenheiro de segurança na Puma Security, em entrevista ao TechBeacon.
Erro 2: Não aproveitar as ferramentas de segurança
Seja por falta de tempo ou de expertise, muitas organizações deixam de configurar de maneira apropriada suas ferramentas de escaneamento de código e de testes dinâmicos de aplicação.
Normalmente, a primeira varredura de uma ferramenta de escaneamento gera muitos falsos positivos ou resultados irrelevantes. É necessário taguear os falsos positivos, filtrar os resultados que de fato importam e ajustar a ferramenta para que se adeque ao ambiente da organização. Sem isso, boa parte do potencial deixa de ser aproveitado.
Considerando-se que novas vulnerabilidades são publicadas diariamente, e que sempre há o risco de alguma falha humana nos processos de desenvolvimento, negligenciar os relatórios de segurança pode ser fatal.
Erro 3: Ignorar a cultura
“Quando equipes começaram a implementar o DevOps (…), o ‘must-execute’ era cultural”, relembra Joni Klippert, co-fundador e CEO da StackHawk, em entrevista ao Enterprises Project. “O DevOps foi construído fundamentalmente em torno de colaboração, empatia e inovação. Equipes que falhavam em ajustar a cultura sofriam para implementar os itens táticos de construir, testar, entregar e executar continuamente aplicações. Com o DevSecOps não é diferente.”
Historicamente, desenvolvimento e segurança miravam em objetivos (aparentemente) incompatíveis: o primeiro focava em velocidade, enquanto o foco da segurança estava em diminuir riscos. “A verdade é que segurança é apenas mais uma parte da qualidade de código, e é do interesse de todas as equipes entregar o melhor código que puderem”, aponta Klippert.
“Equipes que focam na implementação tática sem examinar a cultura e tudo o que ela implica terão muita dificuldade.”
Erro 4: Adotar muitas ferramentas e práticas de uma vez
O grande aumento nas exigências de segurança digital nestes últimos anos pode levar muitos gestores a tentar adotar ferramentas de segurança rapidamente e com pouco planejamento. Isso tende a gerar disrupção desnecessária, prejudicar o andamento dos processos e, no fim das contas, não gerar a proteção e a qualidade de software desejadas.
É mais indicado introduzir uma solução de segurança de cada vez e se certificar de que os resultados são valiosos para as equipes que irão usá-la. Também é necessário (como mencionado nos itens 1 e 2) realizar ajustes de configurações para que as ferramentas se adequem ao ambiente da organização.
Realizar varreduras sem ter um propósito definido e sem avaliar os resultados cria uma falsa sensação de segurança e acaba gerando ruídos.
Quer realizar uma verdadeira transformação digital em sua organização, atingindo novos patamares de segurança e qualidade de software? Clique aqui e agende uma conversa com um de nossos especialistas.