Segurança de Aplicação

DevSecOps: segurança como cultura

Nos últimos anos ouvimos muito falar sobre termos como DevOps e DevSecOps, em uma rápida busca podemos encontrar diversas vagas de emprego para ocupar esses ditos cargos. Mas afinal o que é DevSecOps? Por que esse tipo de profissional é tão visado? 

Você também pode ouvir esse conteúdo:

O início de DevOps e DevSecOps

Se olharmos o mercado de desenvolvimento de software de 20 anos atrás, tínhamos equipes isoladas de desenvolvedores e operação. Mesmo trabalhando para a disponibilização do mesmo produto, essas equipes eram mantidas separadas e não trabalhavam de forma sinérgica. 

Entretanto, com a alta demanda por agilidade nos processo de desenvolvimento e entrega de software, surgiu a necessidade de eliminar as barreiras e aproximar as equipes. Pensando nisso, em 2011 os pesquisadores Jez Humble e Patrick Debois [1] cunharam o termo DevOps, visando demonstrar que os engenheiros de software devem ter uma perspectiva geral do projeto, entendendo não apenas da sua peça do quebra-cabeça, mas também como ela interage com os outros elementos do ciclo.

Neste sentido, os desenvolvedores deixam de ser apenas codificadores e passam a ser protagonistas em todo o ciclo de desenvolvimento de software, atuando ativamente no processo de implementação, teste, validação e monitoramento de software. 

Com os benefícios intrínsecos da adoção da cultura DevOps e os avanços tecnológicos, as preocupações com segurança aumentaram devido ao crescimento de violações de segurança como vazamentos de dados, forçando a indústria a prestar mais atenção em processos de desenvolvimento seguro, neste contexto surge a necessidade de incorporar na cultura DevOps processo de segurança de aplicações, assim surge o termo DevSecOps.

devsecops

No modelo tradicional de desenvolvimento existem alguns processos que visam garantir a segurança dos sistemas como rotinas de pentest, políticas de monitoramento e resposta de incidentes, mas isso é geralmente realizado apenas no fim do ciclo de desenvolvimento.

Sendo assim, surge a necessidade de agregar a segurança no processo de DevOps, tornando o engenheiro de software um personagem ativo na implementação de mecanismos de segurança em todo o ciclo de desenvolvimento, logo o desenvolvedor passa a participar e ter voz ativa na interação com os times de segurança e operação.

Cultura

Aqui temos que ter uma visão bem clara, popularmente o mercado tratar DevSecOps como um cargo ou uma função exclusiva de um desenvolvedor, porém os conceitos DevOps e DevSecOps é sobre cultura, mudança de comportamento e visão de negócio e não deve se limitar a um cargo e a uma pessoa. Todos somos convidados a conhecer e fazer parte dessa cultura de desenvolvimento seguro.

Para gerar mudança de pensamento nos desenvolvedores é necessário adotar uma mudança de cultura na organização o que por consequência muda o processo de desenvolvimento, portanto o DevSecOps trata de promover um ambiente com a cultura de colaboração contínua com foco em colocar a segurança em cada uma das etapas do processo. Agora, te convido a conhecer alguns pontos que julgamos essenciais para que uma cultura DevSecOps seja efetiva:

1- Compartilhamento de conhecimento, o processo de desenvolvimento seguro está intimamente ligado a como lidamos com a educação e treinamentos. Devemos fomentar nossas equipes a compartilharem conhecimentos e criar uma cultura de compartilhamento de práticas. Aqui podemos citar a figura dos Security Champions que são desenvolvedores que recebem treinamento em segurança, sendo responsáveis por um evangelizador dos padrões de desenvolvimento seguro, disseminando conhecimento para toda a equipe.

2- Comunicação, a melhora contínua só existe a partir do diálogo, desse modo você como um praticante do DevSecOps deve se perguntar “Como posso ajudar o meu time? Como implementar processos seguros sem desacelerar as entregas?” Eliminando as barreiras de comunicação entre as partes envolvidas.

3- Feedback, DevSecOps é fornecer feedback contínuo sobre o que você e a sua equipe está fazendo certo ou não, para poder amadurecer os processos, tornando o ciclo mais ágil e efetivo.

DevSecOps vai além de ferramentas

No entanto, existem diversos outros pontos que podem ser levantados como atividades de um DevSecOps, porém acredito que até aqui você já percebeu que é tudo uma questão de cultura, mas agora você pode esta se perguntando “Aqui na minha empresa temos várias ferramentas que suportam DevSecOps, onde elas entram na cultura?” A resposta é muito simples, as ferramentas entram para nos auxiliar em toda a nossa jornada de tornar as aplicações mais seguras.

No mercado existem diversas ferramentas que podem facilitar a implementação e manutenção de um processo de desenvolvimento seguro, porém as ferramentas sozinhas não são suficientes para garantir uma aplicação segura.

Por exemplo, podemos citar a Conviso Platform, que basicamente busca potencializar a implementação de um ciclo de desenvolvimento seguro, apresentando de forma simples diversas ferramentas que irão apoiar o desenvolvedor em suas atividades.

Por fim, podemos concluir que DevSecOps não é um conjunto rígido de regras e procedimentos que devem ser seguidos metodicamente, mas apenas uma mentalidade que precisa ser absorvida e popularizada por todos os membros do time de desenvolvimento. 

Nova call to action
About author

Articles

Analista de segurança na Conviso. Mestre em Ciência da Computação pela Universidade Estadual de Maringá, Paraná/Brasil. Atualmente cursa Doutorado em Ciência da Computação pela mesma universidade (UEM).
Related posts
Segurança de Aplicação

Secure by Design em ASPM - Entenda como as ferramentas se integram nesse processo

Em um momento onde continuamos a ver problemas de vazamentos de dados e vulnerabilidades em…
Read more
Segurança de Aplicação

Nova CVE-2023-4314 identificada em plugin do WordPress

Neste artigo, vamos analisar um estudo de caso de uma CVE encontrada em um plugin do WordPress…
Read more
Segurança de Aplicação

Mitigação de Vulnerabilidades: Elevando a Segurança no Desenvolvimento de Software

No cenário digital em constante evolução, a importância da segurança de software não pode ser…
Read more

Deixe um comentário