Um dos desafios duradouros de construir aplicações modernas é torná-las mais seguras sem perturbar os processos de DevOps de alta velocidade ou degradar a experiência do desenvolvedor. O cenário de ameaças cibernéticas de hoje está repleto de ataques sofisticados direcionados a diferentes partes da cadeia de fornecimento de software, e a urgência para que organizações que produzem software adotem práticas DevSecOps que integram a segurança profundamente ao longo do ciclo de vida do desenvolvimento de software nunca foi tão grande.

Entretanto, COMO as organizações procedem é de extrema importância. Por exemplo, restringir a plataforma de desenvolvimento, instituir revisões exaustivas de código e impor processos pesados de aprovação podem melhorar a postura de segurança dos pipelines e do código, mas não conte com as equipes de aplicativos para operar com fluidez o suficiente para inovar. O mesmo se aplica aos testes de segurança de aplicativos; descobrir uma montanha de vulnerabilidades não adianta muito se os desenvolvedores não tiverem tempo adequado ou orientação para corrigi-las.

Em um nível mais alto, construir e executar uma prática DevSecOps significa que sua organização é capaz de operar uma plataforma de entrega segura, testar as vulnerabilidades de software, priorizar e remediar vulnerabilidades, evitar a liberação de código inseguro e garantir a integridade do software e de todos os seus artefatos.

Mas construir e executar uma prática DevSecOps altamente eficaz significa alcançar todos esses objetivos com a mesma velocidade de desenvolvimento (ou superior) e o mesmo nível geral de satisfação do desenvolvedor. Os seguintes cinco princípios orientadores são essenciais para chegar lá.