DevSecOps: como integrar desenvolvimento, segurança e operações?
O cenário da infraestrutura de TI passou por mudanças exponenciais na última década. A migração para plataformas ágeis de computação em nuvem, armazenamento, dados compartilhados e aplicativos dinâmicos trouxe enormes benefícios para as organizações. Mas há sempre a questão da segurança da informação.
Os hackers estão sempre procurando maneiras cada vez mais sofisticadas de implantar malware e outras explorações. Imagine se eles pudessem inserir malware em um aplicativo durante o processo de compilação e que esse malware não fosse descoberto até que o aplicativo fosse distribuído para milhares de clientes? O dano ao sistema e à reputação da empresa seria enorme, especialmente em um mundo onde as más notícias se tornam virais em instantes.
A maneira como as aplicações modernas são desenvolvidas e executadas está mudando na velocidade da luz e as ferramentas tradicionais simplesmente não conseguem acompanhar este ritmo – de monolitos a micro serviços, assim como ambientes de tempo de execução de contêineres, ambientes híbridos ou multi-cloud.
Os CISOs destacam os seguintes problemas relacionados ao gerenciamento de vulnerabilidades de software*:
64% dizem que os desenvolvedores nem sempre têm tempo para resolver vulnerabilidades antes que o código entre em produção;
45% dizem que os desenvolvedores não têm as habilidades necessárias para assumir a responsabilidade pela segurança;
31% dizem que as equipes de aplicativos e DevOps geralmente não trabalham com a equipe de segurança para evitar lentidão;
28% dizem que as equipes de aplicativos às vezes ignoram as verificações de vulnerabilidades para acelerar a entrega.
*Fonte: Global CISO report 2021 – Dynatrace
A automação aprimorada em todo o pipeline de entrega de software elimina erros e reduz ataques e tempo de inatividade. Para equipes que desejam integrar a segurança em sua estrutura de DevOps, isso pode ser alcançado sem problemas usando as ferramentas e processos corretos. A segurança precisa ser tratada nos estágios iniciais. O famoso shift-left.
Tradicionalmente, o desenvolvimento de software é pressionado por um cronograma que leva em consideração prazos e funcionalidades e é dividido em silos, onde as equipes de desenvolvimento e operação não se conversam. Isso é o que DevOps se propõe a resolver: unir as equipes numa esteira.
Se performance e segurança são tratados no momento de produção, o custo para resolução é maior. Quando usamos a abordagem shift-left, estamos não só corrigindo as falhas de desempenho como também as de segurança logo nos estágios iniciais, além de promover a integração de três disciplinas: desenvolvimento, operações e segurança.
Uma das soluções que a Leadcomm incluiu em seu portfólio é a Checkmarx. Lider no Quadrante Mágico do Gartner para Application Security Testing pelo quinto ano seguido, é a plataforma perfeita para ambientes DevOps e CI, redefinindo o papel da segurança no SDLC (sigla em inglês para Secure Software Development Life Cycle) e com tudo isso funcionando na velocidade do DevOps.
A Checkmarx está constantemente expandindo os limites do Application Security Testing para tornar a segurança simples e perfeita para os desenvolvedores e equipes de segurança do mundo todo. Como líder em testes da AppSec, oferece os recursos incomparáveis de precisão, cobertura, visibilidade e orientação que os clientes precisam para criar o software de amanhã com segurança e velocidade.
