Chegamos na época do ano em que todos começam a pensar nos seus objetivos e o que desejam alcançar neste novo ano. Isso também acontece com os profissionais de segurança que começam a definir os objetivos para as equipes de desenvolvimento e como desejam alcançar estes até o fim deste ano.
Aqui vamos deixar alguns pontos que entendemos ser importantes e que devem ser colocados nas listas de objetivos das equipes de DevOps.
Imaginamos esta lista de uma forma bem aberta, e entendemos que esta não é, e não pode ser entendida, como uma lista finita, pode ser apenas um ponto de partida para novas e melhores ideias.
No final esperamos ter contribuído para o seu planejamento.
Tenha um programa de Security Champions
Em alguns artigos escritos em nosso blog falamos da importância dessa figura nas equipes de DevOps e como ele pode ajudar em aumentar a maturidade de uma equipe no que se refere a segurança dos códigos.
É normal que durante nossa participação na criação de processos de desenvolvimento seguro não consigamos encontrar a figura do Security Champion.
Acreditamos que um dos grandes objetivos das empresas para este ano deva ser a criação de um programa de desenvolvimento do seu time de Security Champions, isso irá trazer um ganho substancial para a segurança do seu código.
A postura do time de Security Champions é sempre introduzir no processo de desenvolvimento seguro o pensamento de “Shift Left”, criando uma cultura de desenvolvimento seguro desde o início do projeto.
Um conceito básico que deve ser implementado e tratado diretamente entre todos os participantes de um processo de desenvolvimento é que a segurança de um código é de responsabilidade de todos.
Há um pensamento básico de que a cada 10 participantes de um time de DevOps, deve existir 1 profissional especializado em segurança em desenvolvimento.
Mesmo que estes conceitos sejam conhecidos por muitos, ainda é muito difícil encontrar uma empresa que tenha essa proporção em seus times. Por isso cada vez mais colocamos a importância da figura do Security Champion.
Muitos gestores estão começando a perceber que o grande impacto da presença destes profissionais, tem mais resultado quando eles aparecem como professores ou mesmo facilitadores dos conceitos de desenvolvimento seguro dentro das equipes.
Estimule suas equipes de desenvolvimento a seguirem os padrões de segurança
Cada vez mais estamos vendo equipes de DevOps aumentarem as suas habilidades tanto em desenvolvimento quanto em operações, isso acarreta a entrega cada vez mais rápida de produtos e serviços ao mercado.
No entanto, não é raro que esta mesma velocidade venha a atrapalhar ou dificultar no processo de introdução de boas práticas de desenvolvimento seguro, pois velocidade e planejamento de segurança nem sempre formam um bom par.
Mas, precisamos entender que é necessário alinhar as entregas com a segurança necessária das aplicações.
O que normalmente acontece é que grande parte da segurança das aplicações posteriormente é transferida para políticas e controles que são externos ao código.
Quando pensamos nisso, fica claro que o movimento normal e mais esperado seria o de colocar já no código as regras de segurança.
Precisamos estimular nossas equipes de desenvolvimento e operações a pensarem em regras de segurança e melhores práticas de desenvolvimento seguro já no início do planejamento.
Durante este ano, as empresas devem buscar cada vez mais aumentar o conhecimento em melhores práticas e a implementar estas práticas na construção de seus códigos, isso com certeza trará grandes ganhos ao processo de desenvolvimento seguro.
Maior atenção aos dados pessoais
A Inteligência Artificial tem sido pensada e usada dentro das equipes DevSecOps de forma cada vez mais efetiva.
É normal para a evolução de grandes estruturas que estas passem a buscar na aquisição de dados as respostas que precisam para tornar sua operação cada vez mais automatizada e mais eficiente.
Imaginando isso podemos olhar para a frente e entender que, por meio do surgimento de várias legislações de proteção de dados, precisamos encarar de forma séria e direta este assunto.
As equipes de operações estão adotando práticas de AIOps que enfatizam a coleta do maior número possível de dados de TI e analisando tudo com aprendizado de máquina e algoritmos de IA para ser mais responsivo e preditivo de possíveis problemas de desempenho.
O problema com isso é que cada vez mais a privacidade vem se tornando um ponto chave nas aplicações e deve ser levado em consideração caso essa seja a sua situação atual.
Neste momento imaginamos uma relação bem mais próxima entre os gestores de desenvolvimento e seus pares, CIOs e CTOs, para auxiliarem as áreas de RH e Jurídicos a entenderem estas necessidades e como podem atuar sem sofrerem problemas.
O uso cada vez maior de dados torna a figura do Security Champion mais importante dentro do processo de desenvolvimento seguro, pois este pode buscar entender como as duas situações podem ser enfrentadas.
Pensando inicialmente em segurança, podemos garantir que a privacidade dos dados recebam a importância adequada.
Aumente a atenção para as suas APIs
Segundo a Akamai, hoje 83% do tráfego da Web é gerado através de API. Outra boa fonte é a Statista que nos mostra como as APIs estão sendo usadas hoje.
Com a adoção de arquiteturas de microsserviços entre os adeptos do DevOps, esses percentual pode acabar aumentando muito em breve e uma grande parte dessa mudança arquitetônica depende das APIs para tudo.
A adoção das APIs resultou em software mais rápido e resiliente, mas também criou novas dores de cabeça de segurança.
“O que costumava ser uma chamada interna entre os componentes de aplicativos no mundo dos aplicativos monolíticos do passado agora é uma chamada de API geralmente feita em uma rede pública e suscetível a ataques“, diz Dmitry Sotnikov, vice-presidente de plataforma em nuvem da 42Crunch.
O que colocamos aqui acima reflete o novo pensamento e o novo modo como o mundo do desenvolvimento entende as conexões e as trocas de informações criando assim novas soluções em aplicações.
A troca de informações mais rápidas também tem um ponto fraco pois a rápida implantação de novos microsserviços expandiu muito as superfícies de ataque de softwares.
Para aqueles que têm a preocupação, indicamos a leitura e adoção dos controles e pontos identificados no documento do OWASP API Security Project, esse pode ser um bom ponto inicial de busca por conhecimentos.
Automatize tudo que for possível
Sempre falamos que a segurança de uma aplicação deve ser pensada desde o início e deve ser altamente focada em automatização de seu processo de validação, e para isso ferramentas e processos devem ser usados.
Assim como o uso cada vez maior das APIs, o uso de contêineres, tecnologia sem servidor e maior automação das atividades de DevOps criaram novos pontos de acesso de segurança que devem ser abordados.
“Mas com tantas novas áreas de segurança para acompanhar, como as equipes acompanharão o ritmo?” questiona James Condon, diretor de pesquisa da Lacework.
Ele acredita que as organizações do DevSecOps devem se concentrar não apenas na automação de testes, mas também na automação da imposição de políticas de segurança, correção e resposta.
E as equipes de segurança que desejam elevar sua automação ao próximo nível podem aprender com seus colegas desenvolvedores.
A questão é que o processo de automação com o uso extremo de ferramentas pode ajudar na escalabilidades dos testes e processo de validação, mas não devemos deixar de lado as revisões manuais feitas por profissionais altamente capacitados.
O processo precisa estar correto
Ao chegarmos ao final deste artigo acreditamos que podemos ter ajudado a iniciar dentro de suas equipes um pensamento que pode trazer como resultado cada vez mais segurança e controle sobre seus códigos.
Mas, também acreditamos que estes pontos não são a solução completa para o seu planejamento e queremos reforçar a necessidade de cada vez mais buscarmos pensar em nosso código como um produto de nosso processo, e se o processo estiver correto o resultado será o ideal.
Ainda, não devemos nos deixar levar pela automação como solução para todos os pontos negativos de um processo de desenvolvimento, vamos precisar de bons profissionais para executarem as tarefas mais complexas da segurança.
E você ? Quais são os pontos que farão parte do seu planejamento?
