Vamos discutir sobre a cultura de DevSecOps, ou as práticas de segurança na cultura de DevOps.
Cultura? Sim, estamos falando sobre cultura, e não de processos, metodologias ou até mesmo ferramentas. Mas antes, precisamos dar alguns passos atrás e falar sobre DevOps.
Processo DevOps
No passado tínhamos times completamente segregados e que dividiam responsabilidades. Times de Dev focavam no desenvolvimento de uma aplicação, passando então para o time de operação, responsável pela programação de implementações, colocando a aplicação para rodar.
Com DevOps, começamos a trabalhar uma cultura onde essas duas práticas trabalhavam juntas com o mesmo objetivo: Construir aplicações com agilidade, qualidade e disponibilizar ela o mais rápido possível. Pontuando que, quando falamos sobre rapidez não é sobre velocidade sem processo, mas sim obter essa agilidade garantindo todos os controles de qualidade e integridade dessa aplicação.
Quando começamos a trabalhar de maneira ágil, começam a surgir outras práticas como automações, processos de continuous integration, continuous deploys, infraestrutura como código, etc. E dessa forma, começamos a construir uma infraestrutura dentro de um processo ágil.
Porém, o que precisamos entender é que todo esse processo é uma cultura que precisa ser buscada e construída no dia a dia com a união de dois times distintos: desenvolvimento e operações.
Mas então, como migrar de DevOps para DevSecOps?
DevSecOps como cultura
Infelizmente, quando falamos de segurança, temos ouvido muitas vezes o tema ser associado a simplesmente colocar uma ferramenta na esteira, ou seja, inserir automação. Vemos que é comum o seguinte pensamento: em um ambiente que já existe uma cultura de DevOps – com diversas práticas sendo executadas para que se entregue software com qualidade e agilidade – basta colocar uma ferramenta que vai ser o suficiente para garantir a segurança. O que acaba sendo um pensamento totalmente equivocado.
Assim como a cultura de Desenvolvimento e Operação trabalham juntas, agora, a Segurança e suas práticas passam a fazer parte dessa cultura também. A cultura DevSecOps é pensar em todos os controles para que os times construam, disponibilizem e mantenham uma aplicação segura do início ao fim do ciclo de um desenvolvimento.
Ferramentas, automação e processos para conseguir agilidade, não são DevOps e nem DevSecOps. São apenas práticas. DevSecOps é conseguir entregar produtos de softwares com qualidade, agilidade e segurança.
Não deixe de conferir o vídeo em que o CEO da Conviso, Wagner Elias, destrincha este tema.
