Nos últimos anos ouvimos muito falar sobre termos como DevOps e DevSecOps, em uma rápida busca podemos encontrar diversas vagas de emprego para ocupar esses ditos cargos. Mas afinal o que é DevSecOps? Por que esse tipo de profissional é tão visado?
O início de DevOps e DevSecOps
Se olharmos o mercado de desenvolvimento de software de 20 anos atrás, tínhamos equipes isoladas de desenvolvedores e operação. Mesmo trabalhando para a disponibilização do mesmo produto, essas equipes eram mantidas separadas e não trabalhavam de forma sinérgica.
Entretanto, com a alta demanda por agilidade nos processo de desenvolvimento e entrega de software, surgiu a necessidade de eliminar as barreiras e aproximar as equipes. Pensando nisso, em 2011 os pesquisadores Jez Humble e Patrick Debois [1] cunharam o termo DevOps, visando demonstrar que os engenheiros de software devem ter uma perspectiva geral do projeto, entendendo não apenas da sua peça do quebra-cabeça, mas também como ela interage com os outros elementos do ciclo.
Neste sentido, os desenvolvedores deixam de ser apenas codificadores e passam a ser protagonistas em todo o ciclo de desenvolvimento de software, atuando ativamente no processo de implementação, teste, validação e monitoramento de software.
Com os benefícios intrínsecos da adoção da cultura DevOps e os avanços tecnológicos, as preocupações com segurança aumentaram devido ao crescimento de violações de segurança como vazamentos de dados, forçando a indústria a prestar mais atenção em processos de desenvolvimento seguro, neste contexto surge a necessidade de incorporar na cultura DevOps processo de segurança de aplicações, assim surge o termo DevSecOps.
No modelo tradicional de desenvolvimento existem alguns processos que visam garantir a segurança dos sistemas como rotinas de pentest, políticas de monitoramento e resposta de incidentes, mas isso é geralmente realizado apenas no fim do ciclo de desenvolvimento.
Sendo assim, surge a necessidade de agregar a segurança no processo de DevOps, tornando o engenheiro de software um personagem ativo na implementação de mecanismos de segurança em todo o ciclo de desenvolvimento, logo o desenvolvedor passa a participar e ter voz ativa na interação com os times de segurança e operação.
Cultura DevSecOps
Aqui temos que ter uma visão bem clara, popularmente o mercado tratar DevSecOps como um cargo ou uma função exclusiva de um desenvolvedor, porém os conceitos DevOps e DevSecOps é sobre cultura, mudança de comportamento e visão de negócio e não deve se limitar a um cargo e a uma pessoa. Todos somos convidados a conhecer e fazer parte dessa cultura de desenvolvimento seguro.
Para gerar mudança de pensamento nos desenvolvedores é necessário adotar uma mudança de cultura na organização o que por consequência muda o processo de desenvolvimento, portanto o DevSecOps trata de promover um ambiente com a cultura de colaboração contínua com foco em colocar a segurança em cada uma das etapas do processo. Agora, te convido a conhecer alguns pontos que julgamos essenciais para que uma cultura DevSecOps seja efetiva:
1- Compartilhamento de conhecimento, o processo de desenvolvimento seguro está intimamente ligado a como lidamos com a educação e treinamentos. Devemos fomentar nossas equipes a compartilharem conhecimentos e criar uma cultura de compartilhamento de práticas. Aqui podemos citar a figura dos Security Champions que são desenvolvedores que recebem treinamento em segurança, sendo responsáveis por um evangelizador dos padrões de desenvolvimento seguro, disseminando conhecimento para toda a equipe.
2- Comunicação, a melhora contínua só existe a partir do diálogo, desse modo você como um praticante do DevSecOps deve se perguntar “Como posso ajudar o meu time? Como implementar processos seguros sem desacelerar as entregas?” Eliminando as barreiras de comunicação entre as partes envolvidas.
3- Feedback, DevSecOps é fornecer feedback contínuo sobre o que você e a sua equipe está fazendo certo ou não, para poder amadurecer os processos, tornando o ciclo mais ágil e efetivo.
DevSecOps vai além de ferramentas
No entanto, existem diversos outros pontos que podem ser levantados como atividades de um DevSecOps, porém acredito que até aqui você já percebeu que é tudo uma questão de cultura, mas agora você pode esta se perguntando “Aqui na minha empresa temos várias ferramentas que suportam DevSecOps, onde elas entram na cultura?” A resposta é muito simples, as ferramentas entram para nos auxiliar em toda a nossa jornada de tornar as aplicações mais seguras.
No mercado existem diversas ferramentas que podem facilitar a implementação e manutenção de um processo de desenvolvimento seguro, porém as ferramentas sozinhas não são suficientes para garantir uma aplicação segura.
Por exemplo, podemos citar a Conviso Platform, que basicamente busca potencializar a implementação de um ciclo de desenvolvimento seguro, apresentando de forma simples diversas ferramentas que irão apoiar o desenvolvedor em suas atividades.
Por fim, podemos concluir que DevSecOps não é um conjunto rígido de regras e procedimentos que devem ser seguidos metodicamente, mas apenas uma mentalidade que precisa ser absorvida e popularizada por todos os membros do time de desenvolvimento.
