Skip to content
devsecops

DevSecOps: os quatro pilares e melhores práticas

Autor: Renato Azevedo Sant Anna

Segurança não é custo, é investimento. O acréscimo do termo Sec ao já conhecido DevOps, integra num fluxo contínuo, permitindo que o estabelecimento de uma cultura de segurança é o primeiro passo para garantir que as práticas de DevOps incorporem as melhores práticas de segurança durante as entregas contínuas nos vários sprints.  

De acordo com paper da ACM, a premissa para que essa integração e sinergia ocorram é a existência de uma comunicação sem ruídos e a confiança entre as diferentes partes como  elemento fundamental dentro de uma cultura de colaboração. 

Por exemplo, o deploy de uma aplicação em produção exige vários componentes de segurança, entre eles: 

– Integração de verificadores para os containers e automação de testes no processo de CI/CD 

– Criptografia do fluxo de dados das diversas aplicações e serviços em produção, com a adoção de Gateways de APIs visando garantir a máxima segurança no ambiente de Cloud Computing.  

– Automação do processo de gerenciamento de configuração de infraestrutura, sistemas e serviços é possibilitada peio uso de ferramentas automatizadas que fazem a identificação dos riscos de segurança. 

– Criação de uma cultura de segurança que trate os riscos de forma adequada para sua minimização. 

– Estabelecimento de rotina de testes automatizados dentro do processo de teste de aceitação. 

Segundo paper do IEEE, existem 4 pilares para as práticas de DevSecOps serem bem sucedidas, que são: “cultura, automação, compartilhamento e medição”.  

Os 4 pilares fornecem um guia de como promover a sinergia e alinhamento organizacional necessários para fazer a colaboração ser uma realidade, sendo um assessment de segurança ser altamente recomendado de ser realizado antes do início de cada projeto afim de definir os melhores processos e ferramentas capazes de suportar sua execução.  

O DevSecOps permite melhor controle do risco de diversos aspectos de segurança de aplicações e de infraestrutura desde o início de seu ciclo de desenvolvimento de forma integrada, com a análise de vulnerabilidades provendo maior integridade e segurança no processo. 

Assim, a existência de uma cultura de colaboração entre os envolvidos é uma condição essencial para que os processos e fluxos de trabalho possam ser melhor organizados  entre as diferentes equipes trabalhando em times híbridos de forma contínua,  promovendo assim a coesão de todos no mesmo objetivo e responsabilidade compartilhada quanto aos requerimentos de segurança necessários para garantir o compromisso de todos com a confidencialidade, integridade e disponibilidades dos dados utilizados entre aplicações e serviços em produção. 

Referências: 

An Empirical Study on Culture, Automation, Measurement, and Sharing of DevSecOps | IEEE Conference Publication | IEEE Xplore

Putting the Sec in DevSecOps: Using Social Practice Theory to Improve Secure Software Development (acm.org)

DevSecOps as a Service – FC Nuvem 

Comments (0)

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Back To Top