Segurança de Aplicação

Como implementar segurança no processo DevOps da sua empresa

Vamos discutir sobre a cultura de DevSecOps, ou as práticas de segurança na cultura de DevOps. 

Cultura? Sim, estamos falando sobre cultura, e não de processos, metodologias ou até mesmo ferramentas. Mas antes, precisamos dar alguns passos atrás e falar sobre DevOps. 

Processo DevOps

No passado tínhamos times completamente segregados e que dividiam responsabilidades. Times de Dev focavam no desenvolvimento de uma aplicação, passando então para o time de operação, responsável pela programação de implementações, colocando a aplicação para rodar. 

Com DevOps, começamos a trabalhar uma cultura onde essas duas práticas trabalhavam juntas com o mesmo objetivo: Construir aplicações com agilidade, qualidade e disponibilizar ela o mais rápido possível. Pontuando que, quando falamos sobre rapidez não é sobre velocidade sem processo, mas sim obter essa agilidade garantindo todos os controles de qualidade e integridade dessa aplicação. 

Quando começamos a trabalhar de maneira ágil, começam a surgir outras práticas como automações, processos de continuous integration, continuous deploys, infraestrutura como código, etc. E dessa forma, começamos a construir uma infraestrutura dentro de um processo ágil.

Porém, o que precisamos entender é que todo esse processo é uma cultura que precisa ser buscada e construída no dia a dia com a união de dois times distintos: desenvolvimento e operações. 

Mas então, como migrar de DevOps para DevSecOps?

DevSecOps como cultura

Infelizmente, quando falamos de segurança, temos ouvido muitas vezes o tema ser associado a simplesmente colocar uma ferramenta na esteira, ou seja, inserir automação. Vemos que é comum o seguinte pensamento: em um ambiente que já existe uma cultura de DevOps – com diversas práticas sendo executadas para que se entregue software com qualidade e agilidade – basta colocar uma ferramenta que vai ser o suficiente para garantir a segurança. O que acaba sendo um pensamento totalmente equivocado. 

Assim como a cultura de Desenvolvimento e Operação trabalham juntas, agora, a Segurança e suas práticas passam a fazer parte dessa cultura também. A cultura DevSecOps é pensar em todos os controles para que os times construam, disponibilizem e mantenham uma aplicação segura do início ao fim do ciclo de um desenvolvimento.

Ferramentas, automação e processos para conseguir agilidade, não são DevOps e nem DevSecOps. São apenas práticas. DevSecOps é conseguir entregar produtos de softwares com qualidade, agilidade e segurança.

Não deixe de conferir o vídeo em que o CEO da Conviso, Wagner Elias, destrincha este tema.

About author

Articles

Analista de marketing na Conviso, atua com criação e planejamento estratégico de conteúdo. Formada em artes cênicas e apaixonada pela criatividade.
Related posts
Code FightersNotíciasSegurança de Aplicação

Estudo de caso: Plone CVE-2021-33512 e Modelagem de Ameaças com Conviso Platform

Um projeto interno do time de Consulting da Conviso, chamado ConsultingLabs, foi criado com o…
Read more
ProdutoSegurança de Aplicação

Secure By Design - Construindo aplicações seguras

Secure by Design é sobre construir aplicações seguras desde o início com uma abordagem…
Read more
ProdutoSegurança de Aplicação

Capacitação em AppSec através do People & Culture

Sabemos que precisamos desenvolver aplicações com segurança para evitar as inúmeras ameaças do…
Read more

Deixe um comentário