O que é DevSecOps? Baixe este guia para o DevSecOps
3 de novembro de 2019 // 3 min read
O DevSecOps traz a segurança de TI para as equipes de desenvolvimento e operações para garantir que a segurança seja uma prioridade em cada etapa do ciclo de vida do desenvolvimento de software. Faça o download deste guia para saber mais.
Atualmente, as equipes de operações usam colaboração, automação e contêineres para acelerar o fornecimento de software. Embora essas práticas recomendadas de DevOps tenham ajudado a encontrar novas maneiras de criar mais rapidamente, as práticas antigas de segurança ainda atrasam muitas organizações.
Entre no DevSecOps. O DevSecOps traz a segurança de TI para as equipes de desenvolvimento e operações para garantir que a segurança seja uma prioridade em cada etapa do ciclo de vida do desenvolvimento de software. Com algumas mudanças, sua organização pode enviar um software melhor e mais seguro, sem atrasos ou aumento de custos.
Por que o DevSecOps?
Custos de segurança mais baixos
O DevSecOps abrange todas as práticas recomendadas de DevOps utilizadas pelas equipes de alto desempenho, com a segurança exigida pelas grandes organizações. Ao incorporar a segurança no pipeline de DevOps, é possível encontrar vulnerabilidades antes que elas sejam lançadas, e é mais fácil e menos dispendioso corrigi-las.
Trabalho em equipe mais eficaz
Assim como desenvolvedores e operações são responsáveis pela confiabilidade e pela qualidade no DevOps, o DevSecOps faz da segurança um esforço de equipe, não uma etapa final. As equipes de desenvolvedores, operações e segurança trabalham juntas para manter as aplicações seguras, desde a primeira linha de código até a produção final.
Automação orientada por políticas
Um bom programa de DevSecOps também aumenta a confiança em todo o processo de entrega de software de sua organização. As verificações automatizadas implementam a segurança de uma forma orientada por políticas, e não como um conjunto de ferramentas manuais confusas que atrasam o desenvolvimento para todos.
Antes: segurança em pontos de isolamento |
Agora: DevSecOps |
|---|---|
Testes imediatamente antes da implementaçãoOs testes estáticos e dinâmicos aconteciam no final do ciclo de entrega, logo antes do lançamento. |
Testes desde a ideia até a produçãoOs testes estáticos e dinâmicos são realizados juntamente com práticas seguras de criação de código, verificações de qualidade e correções de vulnerabilidades de segurança. |
Especialização em segurança separadaEquipes de desenvolvimento, operações de TI e segurança trabalhavam de forma independente. |
Experiência em segurança compartilhadaOs desenvolvedores, as operações de TI e as equipes de segurança seguem diretrizes de segurança compartilhadas em seu trabalho. |
Teste manual de segurançaAs organizações implementavam com menos frequência e executavam verificações de segurança individualmente, conforme necessário. |
Testes automatizados de segurançaAs organizações implementam com mais frequência e adicionam verificações de segurança automatizadas ao seu pipeline de CI/CD. |
Três dicas de DevSecOps para começar
1. Use uma plataforma compartilhada e segura para colaboração
Assim como o DevOps, o DevSecOps depende e termina com a colaboração. Uma plataforma compartilhada ajuda as equipes de desenvolvimento, operações de TI e segurança a criarem juntas e padronizarem a forma como trabalham. Priorize plataformas com segurança integrada para que toda a sua organização possa compartilhar práticas recomendadas, encontrar e reutilizar códigos e colaborar desde o início.
Dica do GitHub: A boa segurança começa no login. Ao encontrar a plataforma de colaboração certa, ela também deve oferecer suporte a recursos de gerenciamento de identidade, como autenticação de dois fatores, single sign-on, sincronizações automáticas da organização e muito mais.
2. Proteja seu SDLC de ponta a ponta
Até 99% das aplicações lançadas recentemente contêm código-fonte aberto, o que significa que as dependências de código aberto já fazem parte de sua base de código.* Integre ferramentas de segurança de código em seu pipeline de CI/CD que possam identificar proativamente vulnerabilidades de segurança em códigos-fonte abertos e internos.
Dica do GitHub: o software de código aberto está em todos os lugares. Ferramentas de segurança automatizadas, como a análise de variantes LGTM, WhiteSource e Snyk, podem facilitar a localização e a eliminação de bugs e vulnerabilidades que sua equipe não consegue rastrear manualmente.
* Relatório de análise de risco e segurança de código aberto de 2019
3. Rastrear a segurança após a produção
A segurança não termina quando o código é confirmado, nem o seu pipeline de DevSecOps. Após a implementação, mantenha o código e os clientes seguros, monitorando continuamente as vulnerabilidades. Procure ferramentas que possam rastrear e atualizar dependências vulneráveis após o lançamento, antes que os possíveis hackers possam tirar proveito delas.
Dica do GitHub: embora os alertas de vulnerabilidade de segurança tornem os projetos mais seguros, os dados do setor mostram que mais de 70% das vulnerabilidades permanecem sem correção após 30 dias, e muitas por até um ano. Use integrações que não apenas identifiquem dependências vulneráveis, mas também as corrijam automaticamente.
Tags