Segurança de Aplicação

Como implementar segurança no processo DevOps da sua empresa

Vamos discutir sobre a cultura de DevSecOps, ou as práticas de segurança na cultura de DevOps. 

Cultura? Sim, estamos falando sobre cultura, e não de processos, metodologias ou até mesmo ferramentas. Mas antes, precisamos dar alguns passos atrás e falar sobre DevOps. 

Processo DevOps

No passado tínhamos times completamente segregados e que dividiam responsabilidades. Times de Dev focavam no desenvolvimento de uma aplicação, passando então para o time de operação, responsável pela programação de implementações, colocando a aplicação para rodar. 

Com DevOps, começamos a trabalhar uma cultura onde essas duas práticas trabalhavam juntas com o mesmo objetivo: Construir aplicações com agilidade, qualidade e disponibilizar ela o mais rápido possível. Pontuando que, quando falamos sobre rapidez não é sobre velocidade sem processo, mas sim obter essa agilidade garantindo todos os controles de qualidade e integridade dessa aplicação. 

Quando começamos a trabalhar de maneira ágil, começam a surgir outras práticas como automações, processos de continuous integration, continuous deploys, infraestrutura como código, etc. E dessa forma, começamos a construir uma infraestrutura dentro de um processo ágil.

Porém, o que precisamos entender é que todo esse processo é uma cultura que precisa ser buscada e construída no dia a dia com a união de dois times distintos: desenvolvimento e operações. 

Mas então, como migrar de DevOps para DevSecOps?

DevSecOps como cultura

Infelizmente, quando falamos de segurança, temos ouvido muitas vezes o tema ser associado a simplesmente colocar uma ferramenta na esteira, ou seja, inserir automação. Vemos que é comum o seguinte pensamento: em um ambiente que já existe uma cultura de DevOps – com diversas práticas sendo executadas para que se entregue software com qualidade e agilidade – basta colocar uma ferramenta que vai ser o suficiente para garantir a segurança. O que acaba sendo um pensamento totalmente equivocado. 

Assim como a cultura de Desenvolvimento e Operação trabalham juntas, agora, a Segurança e suas práticas passam a fazer parte dessa cultura também. A cultura DevSecOps é pensar em todos os controles para que os times construam, disponibilizem e mantenham uma aplicação segura do início ao fim do ciclo de um desenvolvimento.

Ferramentas, automação e processos para conseguir agilidade, não são DevOps e nem DevSecOps. São apenas práticas. DevSecOps é conseguir entregar produtos de softwares com qualidade, agilidade e segurança.

Não deixe de conferir o vídeo em que o CEO da Conviso, Wagner Elias, destrincha este tema.

About author

Articles

Analista de marketing na Conviso, atua com criação e planejamento estratégico de conteúdo. Formada em artes cênicas e apaixonada pela criatividade.
Related posts
Segurança de Aplicação

Uma visão geral do CVE-2021-41020

O assunto deste artigo é a vulnerabilidade CVE-2021-41020 – a qual encontrei no FortiIsolator…
Read more
Segurança de Aplicação

Ferramentas resolvem os problemas em AppSec?

Vamos falar sobre o uso de ferramentas para segurança de aplicações? O quanto isso é importante…
Read more
Segurança de Aplicação

O que são SAML e OAuth2 e qual a diferença entre eles

Dentro dos conceitos mais atuais para o desenvolvimento seguro, tratar do aspecto da autenticação…
Read more

Deixe um comentário