Uma dos desafios persistentes de construir aplicações modernas é torná-las mais seguras sem interromper os processos de DevOps de alta velocidade ou degradar a experiência do desenvolvedor. O cenário atual de ameaças cibernéticas está repleto de ataques sofisticados direcionados a diferentes partes da cadeia de abastecimento de software e a urgência para que organizações de produção de software adotem práticas de DevSecOps que integrem a segurança profundamente ao longo do ciclo de desenvolvimento de software nunca foi tão grande.
No entanto, A FORMA como as organizações abordam isso é de importância crítica. Por exemplo, restringir a plataforma de desenvolvimento, instituir revisões exaustivas de código e impor processos de aprovação robustos podem melhorar a postura de segurança dos pipelines e do código, mas não espere que as equipes de aplicativos operem de forma fluida o suficiente para inovar. O mesmo ocorre com os testes de segurança de aplicativos: descobrir uma montanha de vulnerabilidades não adianta muito se os desenvolvedores tiverem tempo ou orientação inadequados para corrigi-las.
Em um nível mais alto, construir e executar uma prática de DevSecOps significa que sua organização é capaz de operar uma plataforma de entrega segura, testar vulnerabilidades de software, priorizar e remediar vulnerabilidades, evitar a liberação de código inseguro e garantir a integridade do software e de todos os seus artefatos.
Mas construir e executar uma prática de DevSecOps altamente eficaz significa alcançar todos esses objetivos com a mesma velocidade de desenvolvimento (ou superior) e nível geral de satisfação do desenvolvedor. Os cinco princípios orientadores a seguir são essenciais para alcançar esse objetivo.
Princípio 1: Estabelecer uma cultura colaborativa e orientada para a segurança
Uma cultura forte e produtiva é essencial para o sucesso de qualquer equipe, mas também é o elemento mais difícil de acertar. Isso é especialmente verdadeiro para o DevSecOps, como evidenciado por um estudo recente da indústria revelando que “mais da metade (51%) dos tomadores de decisão de TI relatam resistência total à mudança entre suas equipes, enquanto 47% afirmam que há colaboração insuficiente entre as equipes”.
A importância da cultura para o sucesso do DevSecOps não deve ser subestimada, e começa com a aceitação da segurança como uma prioridade para todos os interessados.
Princípio 2: Transferir informações de segurança para a esquerda, não a carga de trabalho de segurança
Aborde o assunto DevSecOps e é impossível não mencionar ‘mover para a esquerda’. O mantra de segurança para a esquerda é tão prevalente nos artigos, blogs e materiais de marketing atuais orientados para o DevSecOps, que é fácil pensar que, simplesmente movendo as verificações de segurança mais cedo no ciclo de desenvolvimento de software, você tenha alcançado um programa de DevSecOps funcional. A realidade é que O QUE você move para a esquerda é o que determina o sucesso ou o fracasso do seu DevSecOps.
