DevSecOps, entenda esse conceito

Graças a prática do DevOps, a sinergia entre as equipes de desenvolvimento e operação e o tempo de entrega de software estão cada vez melhores, portanto, o ciclo de vida de desenvolvimento de software está drasticamente menor, em contrapartida as equipes de segurança estão sendo cada vez mais desafiadas a manter a segurança das aplicações e, muitas vezes, são vistas como gargalos ou barreiras para a entrega de um novo produto.

O conceito de DevSecOps foi então desenvolvido exatamente para resolver o gap existente entre o DevOps e Segurança. No DevOps os testes e homologação de funcionalidades já são realizados de maneira automatizada utilizando integrações continuas, agora digamos que, além disso, seja realizada uma busca extensiva por vulnerabilidades e potenciais riscos em suas aplicações, garantindo não só a velocidade de entrega e qualidade do software, mas também sua segurança como parte do ciclo de desenvolvimento de um software, com a utilização de DevSecOps isso é possível!

Dessa forma, podemos afirmar que DevSecOps é a integração da equipe de segurança com as equipes de desenvolvimento e operações, buscando todos os benefícios do DevOps sem renunciar a segurança e, ainda, utilizar a mesma filosofia de entrega rápida adicionando etapas de segurança no ciclo de desenvolvimento de software.

O Fluxo do DevSecOps, como o próprio nome sugere, ocorre em três etapas sequenciais, sendo o desenvolvimento, os testes de segurança e as operações para o deploy da aplicação.

Dentre os principais objetivos do DevSecOps podemos citar a adição de reviews de segurança no código fonte e na infraestrutura de uma aplicação e os feedbacks para as equipes de desenvolvimento e operações sobre como resolver os problemas de segurança.

Para que todo esse sistema funcione, as três ferramentas mais utilizadas no DevSecOps são:

- SAST Static Application Security Testing, de acordo com o IT Glossary do Gartner, empresa multinacional de pesquisa e consultoria, é um conjunto de tecnologias que analiza o código fonte ou o próprio código de máquina (binários) de uma aplicação em busca de falhas de segurança, o review é realizado em aplicações que não estão em execução, o foco é realizar uma analize de dentro para fora da aplicação.

- DAST: Dynamic Application Security Testing, de acordo com o IT Glossary do Gartner, são tecnologias desenvolvidas para detecção de vulnerabilidades em aplicações em estado de execução, grande parte das soluções DAST visa o teste em aplicações Web (HTTP) porém existem soluções que realizam os testes em outros tipos de protocolos, o foco é realizar uma analize de fora para dentro da aplicação.

- IAST: Interactive Application Security Testing, de acordo com o Gartner é uma aplicação de testes de segurança emergente que irá contribuir para o crescimento do segmento até 2021. A mesma combina SAST e DAST para interagir com a aplicação em uma análise completa, tanto de dentro para fora como de fora para dentro.

De acordo com pesquisa publicada pela Veracode*, em setembro de 2016, sobre como fechar as brechas de segurança de maneira eficaz apresenta pontos de destaque:

- A maioria das empresas (55.8%) utiliza Web Application Firewalls (WAFs) como meio de proteção de suas aplicações. Estratégia não muito eficaz para proteção de aplicações, uma vez que o WAF é utilizado para mitigar ameaças. Por exemplo, imagine um buraco em um telhado e o WAF funcionando como um esparadrapo tapando o buraco. Inicialmente. É possível estancar as goteiras, mas o buraco (vulnerabilidade) continua lá.

- Equipes que aplicam segurança durante o ciclo de desenvolvimento de Software gastam 22% menos tempo fazendo retrabalho e possuem 29% mais tempo para novos trabalhos.

Portanto, adotar a estratégia de DevSecOps significa fechar a brecha definitivamente - resolvendo o problema pela raiz -, reduzir o retrabalho e otimizar o tempo para dedicação à inovação em outras áreas da companhia. Se a sua empresa já aplica DevOps e se preocupa com a segurança de seus produtos, o conceito de DevSecOps é algo que você deve colocar em seu roadmap!

 *Pesquisa na íntegra: https://www.veracode.com/sites/default/files/Resources/Reports/veracode-secure-development-survey-report.pdf

https://goo.gl/tpTyZ8


https://www.facebook.com/SECFORYOU/