Uma dos desafios duradouros de construir aplicações modernas é torná-las mais seguras sem interromper os processos DevOps de alta velocidade ou degradar a experiência do desenvolvedor. O cenário atual de ameaças cibernéticas está cheio de ataques sofisticados direcionados a todas as partes da cadeia de suprimentos de software e a urgência das organizações produtoras de software adotarem práticas de DevSecOps que integram a segurança ao longo do ciclo de vida do desenvolvimento de software nunca foi tão grande.

No entanto, COMO as organizações fazem isso é de extrema importância. Por exemplo, restringir a plataforma de desenvolvimento, instituir revisões exaustivas de código e impor processos de aprovação pesados podem melhorar a postura de segurança dos pipelines e do código, mas não espere que as equipes de aplicativos operem com fluidez o suficiente para inovar. O mesmo vale para testes de segurança de aplicativos; descobrir uma montanha de vulnerabilidades não é útil se os desenvolvedores não tiverem tempo adequado ou orientação para corrigi-las.

Em um nível mais alto, construir e operar uma prática de DevSecOps significa que sua organização é capaz de operar uma plataforma de entrega segura, testar vulnerabilidades de software, priorizar e remediar vulnerabilidades, prevenir a liberação de código inseguro e garantir a integridade do software e de todos os seus artefatos.

Mas construir e executar uma prática de DevSecOps altamente eficaz significa alcançar todos esses objetivos na mesma (ou maior) velocidade de desenvolvimento e nível geral de satisfação do desenvolvedor. Os seguintes cinco princípios orientadores são essenciais para alcançar esse objetivo.