Segurança de Aplicação

Como implementar segurança no processo DevOps da sua empresa

Vamos discutir sobre a cultura de DevSecOps, ou as práticas de segurança na cultura de DevOps. 

Cultura? Sim, estamos falando sobre cultura, e não de processos, metodologias ou até mesmo ferramentas. Mas antes, precisamos dar alguns passos atrás e falar sobre DevOps. 

Processo DevOps

No passado tínhamos times completamente segregados e que dividiam responsabilidades. Times de Dev focavam no desenvolvimento de uma aplicação, passando então para o time de operação, responsável pela programação de implementações, colocando a aplicação para rodar. 

Com DevOps, começamos a trabalhar uma cultura onde essas duas práticas trabalhavam juntas com o mesmo objetivo: Construir aplicações com agilidade, qualidade e disponibilizar ela o mais rápido possível. Pontuando que, quando falamos sobre rapidez não é sobre velocidade sem processo, mas sim obter essa agilidade garantindo todos os controles de qualidade e integridade dessa aplicação. 

Quando começamos a trabalhar de maneira ágil, começam a surgir outras práticas como automações, processos de continuous integration, continuous deploys, infraestrutura como código, etc. E dessa forma, começamos a construir uma infraestrutura dentro de um processo ágil.

Porém, o que precisamos entender é que todo esse processo é uma cultura que precisa ser buscada e construída no dia a dia com a união de dois times distintos: desenvolvimento e operações. 

Mas então, como migrar de DevOps para DevSecOps?

DevSecOps como cultura

Infelizmente, quando falamos de segurança, temos ouvido muitas vezes o tema ser associado a simplesmente colocar uma ferramenta na esteira, ou seja, inserir automação. Vemos que é comum o seguinte pensamento: em um ambiente que já existe uma cultura de DevOps – com diversas práticas sendo executadas para que se entregue software com qualidade e agilidade – basta colocar uma ferramenta que vai ser o suficiente para garantir a segurança. O que acaba sendo um pensamento totalmente equivocado. 

Assim como a cultura de Desenvolvimento e Operação trabalham juntas, agora, a Segurança e suas práticas passam a fazer parte dessa cultura também. A cultura DevSecOps é pensar em todos os controles para que os times construam, disponibilizem e mantenham uma aplicação segura do início ao fim do ciclo de um desenvolvimento.

Ferramentas, automação e processos para conseguir agilidade, não são DevOps e nem DevSecOps. São apenas práticas. DevSecOps é conseguir entregar produtos de softwares com qualidade, agilidade e segurança.

Não deixe de conferir o vídeo em que o CEO da Conviso, Wagner Elias, destrincha este tema.

About author

Articles

Analista de marketing na Conviso, atua com criação e planejamento estratégico de conteúdo. Formada em artes cênicas e apaixonada pela criatividade.
Related posts
Segurança de Aplicação

Programa de segurança de aplicações: conheça o AppSec Journey

Primordialmente, a Segurança de Aplicações (AppSec) deve ser integrada em todas as etapas do…
Read more
Segurança de Aplicação

Operações segundo SAMM: Gestão de Ambiente em Segurança de Aplicações

Este artigo faz parte de uma série de publicações feitas com base no projeto SAMM da OWASP, caso…
Read more
Segurança de Aplicação

Operações segundo SAMM: Gestão de Incidentes em Segurança de Aplicações

Dando sequência à série de publicações sobre o framework OWASP SAMM (Software Assurance…
Read more

Deixe um comentário