Graças a prática do DevOps, a sinergia entre as equipes de desenvolvimento e operação e o tempo de entrega de software estão cada vez melhores, portanto, o ciclo de vida de desenvolvimento de software está drasticamente menor, em contrapartida as equipes de segurança estão sendo cada vez mais desafiadas a manter a segurança das aplicações e, muitas vezes, são vistas como gargalos ou barreiras para a entrega de um novo produto.

O conceito de SecDevOps foi então desenvolvido exatamente para resolver o gapexistente entre o DevOps e Segurança. No DevOpsos testes unitários e homologação de funcionalidades já são realizados de maneira automatizada, agora digamos que, além disso, seja realizada uma busca extensiva por vulnerabilidades e potenciais riscos em suas aplicações, garantindo não só a velocidade de entrega e qualidade do software, mas também sua segurança como parte do ciclo de desenvolvimento de um software -, com a utilização de SecDevOps isso é possível!

Dessa forma, podemos afirmar que SecDevOps é a integração da equipe de segurança com as equipes de desenvolvimento e operações, buscando todos os benefícios do DevOps sem renunciar a segurança e, ainda, utilizar a mesma filosofia de entrega rápida adicionando etapas de segurança no ciclo de desenvolvimento de software.

Dentre os principais objetivos do SecDevOps podemos citar a adição de reviews de segurança no código fonte e na infraestrutura de uma aplicação e os feedbacks para as equipes de desenvolvimento e operações sobre como resolver os problemas de segurança.

Para que todo esse sistema funcione, as três ferramentas mais utilizadas no SecDevOps são:

SAST Static Application SecurityTesting, de acordo com o IT Glossary do Gartner, empresa multinacional de pesquisa e consultoria, é um conjunto de tecnologias que analiza o código fonte e o código de máquina de uma aplicação em busca de falhas de segurança, o review é realizado em aplicações que não estão em execução, o foco é realizar uma analize de dentro para fora da aplicação.

DAST:Dynamic Application SecurityTesting, de acordo com o IT Glossary do Gartner, são tecnologias desenvolvidas para detecção de vulnerabilidades em aplicações em estado de execução, grande parte das soluções DAST visa o teste em aplicações Web (HTTP) porém existem soluções que realizam os testes em outros tipos de protocolos, o foco é realizar uma analize de fora para dentro da aplicação.

IAST:Interactive Application Security Testing, de acordo com o Gartner é uma aplicação de testes de segurança emergente que irá contribuir para o crescimento do segmento até 2021.  A mesma combina SAST e DAST para interagir com a aplicação em uma análise completa, tanto de dentro para fora como de fora para dentro.

De acordo uma pesquisa publicada pela Veracode*, em setembro de 2016, sobre como fechar as brechas de segurança de maneira eficaz apresenta pontos de destaque:

– A maioria das empresas (55.8%) utiliza Web Application Firewalls (WAFs) como meio de proteção de suas aplicações. Estratégia não muito eficaz para proteção de aplicações, uma vez que o WAF é utilizado para mitigar ameaças.  Por exemplo, imagine um buraco em um telhado e o WAF funcionando como um esparadrapo tapando o buraco. Inicialmente. É possível estancar as goteiras, mas o buraco (vulnerabilidade) continua lá.

– Equipes que aplicam segurança durante o ciclo de desenvolvimento de Software gastam 22% menos tempo fazendo retrabalho e possuem 29% mais tempo para novos trabalhos.

Portanto, adotar a estratégia de SecDevOps significa fechar a brecha definitivamente – resolvendo o problema pela raiz -, reduzir o retrabalho e otimizar o tempo para dedicação à inovação em outras áreas da companhia. Se a sua empresa já aplica DevOps e se preocupa com a segurança de seus produtos, o conceito de SecDevOps é algo que você devecolocar em seu roadmap!

*Pesquisa na íntegra: https://www.veracode.com/sites/default/files/Resources/Reports/veracode-secure-development-survey-report.pdf

Angelo Moura

Engenheiro de Software e DevSecOps na SEC4YOU.