Um dos desafios duradouros na construção de aplicações modernas é torná-las mais seguras sem interromper os processos de alta velocidade do DevOps ou prejudicar a experiência do desenvolvedor. O cenário atual de ameaças cibernéticas está repleto de ataques sofisticados direcionados a diferentes partes da cadeia de suprimentos de software, e a urgência para as organizações produtoras de software adotarem práticas de DevSecOps que integrem profundamente a segurança ao longo do ciclo de vida do desenvolvimento de software nunca foi tão grande.

No entanto, como as organizações abordam isso é de suma importância. Por exemplo, restringir a plataforma de desenvolvimento, instituir revisões exaustivas de código e impor processos de aprovação rigorosos pode melhorar a postura de segurança das pipelines e do código, mas não espere que as equipes de aplicação operem de forma fluida o suficiente para inovar. O mesmo vale para os testes de segurança de aplicativos; descobrir uma montanha de vulnerabilidades pouco adianta se os desenvolvedores não tiverem tempo adequado ou orientação para corrigi-las.

Em linhas gerais, construir e executar uma prática de DevSecOps significa que sua organização é capaz de operar uma plataforma de entrega segura, testar vulnerabilidades de software, priorizar e remediar vulnerabilidades, prevenir a liberação de código inseguro e garantir a integridade do software e de todos os seus artefatos.

Contudo, construir e executar uma prática de DevSecOps altamente eficaz significa atingir todos esses objetivos à mesma velocidade (ou maior) de desenvolvimento e nível geral de satisfação do desenvolvedor. Os cinco princípios orientadores a seguir são essenciais para alcançar esse objetivo.