Um dos desafios duradouros da construção de aplicações modernas é torná-las mais seguras sem interromper os processos de DevOps de alta velocidade ou degradar a experiência do desenvolvedor. O cenário atual de ameaças cibernéticas está repleto de ataques sofisticados direcionados a diferentes partes da cadeia de fornecimento de software e a urgência para que as organizações produtoras de software adotem práticas de DevSecOps que integrem profundamente a segurança ao longo do ciclo de vida do desenvolvimento de software nunca foi tão grande.
No entanto, O COMO as organizações abordam isso é de extrema importância. Por exemplo, restringir a plataforma de desenvolvimento, instituir revisões exaustivas de código e impor processos de aprovação excessivos pode melhorar a postura de segurança dos pipelines e do código, mas não espere que as equipes de aplicativos operem com fluidez o suficiente para inovar. O mesmo vale para testes de segurança de aplicativos; descobrir uma variedade de vulnerabilidades não adianta muito se os desenvolvedores não tiverem tempo adequado ou orientação para corrigi-las.
Em um nível mais alto, construir e executar uma prática de DevSecOps significa que sua organização é capaz de operar uma plataforma de entrega segura, testar vulnerabilidades de software, priorizar e remediar vulnerabilidades, impedir a liberação de código inseguro e garantir a integridade do software e de todos os seus artefatos.
No entanto, construir e executar uma prática de DevSecOps altamente eficaz significa alcançar todos esses objetivos com a mesma (ou maior) velocidade de desenvolvimento e nível geral de satisfação dos desenvolvedores. Os cinco princípios orientadores a seguir são essenciais para chegar lá.
Princípio 1: Estabelecer uma cultura colaborativa com foco em segurança.
Uma cultura forte e produtiva é essencial para o sucesso de qualquer equipe, mas também é o elemento mais difícil de acertar. Isso é especialmente verdadeiro para o DevSecOps, como evidenciado por um estudo recente que revelou que “mais da metade (51%) dos tomadores de decisão de TI relatam resistência total à mudança entre suas equipes, enquanto 47% dizem que há colaboração insuficiente entre equipes.”
A importância da cultura para o sucesso do DevSecOps não deve ser subestimada e começa com a aceitação da segurança como prioridade para todos os interessados.
Princípio 2: Deslocar informações de segurança para a esquerda, não a carga de trabalho.
Princípio 3: Manter a governança adequada e barreiras de proteção.
Princípio 4: Focar na proteção da cadeia de fornecimento de software (e não apenas no próprio código-fonte).
Princípio 5: Alcançar ‘segurança contínua’ por meio de automação e IA.
Conclusão: Embora não haja dúvida sobre a criticidade de uma prática de DevSecOps altamente eficaz para as organizações produtoras de software, existem poucos padrões claros sobre como construir uma que fortaleça a postura geral de segurança de aplicativos sem adicionar trabalho ou degradar a experiência do desenvolvedor.
Os cinco principais princípios do DevSecOps (juntamente com seus respectivos conjuntos de diretrizes) discutidos neste texto permitem que equipes de DevSecOps construam e mantenham uma base operacional sólida. À medida que as tecnologias e práticas modernas de DevOps continuam a evoluir rapidamente, sempre haverá questões de segurança não resolvidas para abordar. Desde que desenvolvedores, engenheiros DevOps e profissionais de segurança trabalhem juntos como uma unidade coesa, o caminho para a excelência em DevSecOps fica muito mais claro.
