Uma das desafios duradouros de construir aplicações modernas é torná-las mais seguras sem interromper os processos de alta velocidade do DevOps ou degradar a experiência do desenvolvedor. A paisagem atual das ameaças cibernéticas está repleta de ataques sofisticados direcionados a diferentes partes da cadeia de fornecimento de software, e a urgência para as organizações que produzem software adotarem práticas DevSecOps que integrem profundamente a segurança ao longo do ciclo de vida do desenvolvimento de software nunca foi tão grande.

Entretanto, COMO as organizações fazem isso é de extrema importância. Por exemplo, restringir a plataforma de desenvolvimento, instituir revisões exaustivas de código e impor processos de aprovação pesados podem melhorar a postura de segurança dos pipelines e do código, mas não espere que as equipes de aplicativos operem com fluidez o suficiente para inovar. O mesmo vale para os testes de segurança de aplicativos; descobrir uma montanha de vulnerabilidades não adianta muito se os desenvolvedores não tiverem tempo suficiente ou orientação para corrigi-las.

Em um nível mais amplo, construir e executar uma prática DevSecOps significa que sua organização é capaz de operar uma plataforma de entrega segura, testar vulnerabilidades de software, priorizar e remediar vulnerabilidades, evitar a divulgação de código inseguro e garantir a integridade do software e de todos os seus artefatos.

Mas construir e executar uma prática DevSecOps altamente eficaz significa alcançar todos esses objetivos com a mesma (ou maior) velocidade de desenvolvimento e nível geral de satisfação dos desenvolvedores. Os cinco princípios orientadores a seguir são essenciais para chegar lá.