DevOps já não é novo. A integração do trabalho de desenvolvimento (DEV) e operações (OPS), que incluiria infraestrutura, administração e controle de qualidade já demonstrou que atitude mais colaborativa, associada à adoção de processos automatizados de produção, resultam num melhor time to market, redução de esforço e ganhos financeiros para organizações. Fica cada vez mais patente a necessidade de fazer isso com a extrema segurança que os dias de hoje demandam.
Quando os ciclos de desenvolvimento e Go Live duravam meses, não era nenhum problema isolar a equipe de segurança. Hoje já não faz mais sentido. De novo: é o time to market. As culturas LEAN, AGILE e o modelo DevOps produzem ciclos de desenvolvimento mais rápidos e mais frequentes, com entregas passando a ser feitas em dias e, no máximo, semanas. Se o time de segurança não estiver integrado ao processo, a velocidade de Go Live pode produzir mais ônus do que bônus.
Nessa estrutura, DevSecOps, a responsabilidade pela segurança passa a ser compartilhada. Significa que Dev, Infra e QA passam a pensar com mais dedicação na segurança da aplicação e da infraestrutura – e desde o início. É preciso ainda pensar em ferramentas e automação de parte das barreiras de segurança.
Claro, idealmente você nem precisaria mudar o nome de “DevOps” para “DevSecOps” para incluir a segurança em todo o ciclo de vida da aplicação. Há, porém, uma sutileza: não se trata apenas de um nome. É a filosofia de tirar a segurança da mera camada de proteção que, tradicionalmente, é incluída somente no final dos ciclos de desenvolvimento para ser parte de todas as etapas da aplicação.
Na prática, essa integração possibilita que a segurança compartilhe com ideias, feedbacks, novas ameaças e, com o passar do tempo, as vulnerabilidades e riscos sejam reduzidos no final da linha. Além disso, a lógica é estabelecer padrões de segurança com o mínimo impacto nas operações e serviços.
Outro aspecto a considerar é que, além do pensamento ágil, a maioria das iniciativas DevOps ampara-se em tecnologias cloud, API’s e microsserviços, por exemplo. Assim, a tecnologia ganhou escalabilidade – e a segurança precisa estar adaptada a esse novo cenário.
Para buscarmos a proteção contra estas ameaças, trago as principais práticas a serem consideradas:
Além da liberação contínua de releases e jobs, é preciso ter uma equipe bem conectada. Significa ter, o tempo todo, troca de experiência e transferência de conhecimento além, claro, de feedbacks contínuos.
Também é fundamental buscar o tempo todo a qualidade de código. E isso requer analisar códigos ainda em tempo de desenvolvimento, buscando vulnerabilidades e deficiências.
Uma boa prática é manter bibliotecas críticas de segurança com SDKs para funções que vão se repetir – como login, mensageria e troca de dados.
Outra prática que se faz necessária: API’s de segurança.
E MAIS:
Integrar e Compartilhar: crie práticas para integrar o time e estimular colaboração, partilha de experiências e conhecimento.
Objetivar: o foco é o sprint, o projeto. Todos precisam estar construtivos e livres de tudo que vem de fora.
Pensamento no negócio: ao pensar a infra, o código, a qualidade, a segurança e o time têm que ter em mente somente o negócio. Promover esse encontro é fundamental.
Be Agile: nem é preciso dizer…. Entregas rápidas, contínuas, Scrum, XP…
Enfim, a segurança entrou em definitivo no jogo. Se DEV é o meia de criação e OPS o centroavante goleador, SEC é a sólida defesa que um time vencedor necessita. Agora é DevSecOps.
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.