Graças a prática do DevOps, a sinergia entre as equipes de desenvolvimento e operação, e o tempo de entrega de software estão melhorando. Porém, como está a segurança dessas aplicações? Vamos entender o conceito DevSecOps. 

Atualmente, o ciclo de vida de desenvolvimento de software é drasticamente menor. Em contrapartida, as equipes de segurança são, cada vez mais, desafiadas a manter a segurança das aplicações e, muitas vezes, são vistas como gargalos ou barreiras para a entrega do novo produto.

Por isso, o conceito de DevSecOps foi desenvolvido! Exatamente para resolver o gap existente entre o DevOps e Segurança.

Como funciona o DevSecOps?

No DevOps são testados unitários e homologação de funcionalidades, de forma automática. Digamos que, também seja realizada, a busca extensiva por vulnerabilidades e potenciais riscos nas aplicações? 

Então, dessa forma seria possível garantir, não só a velocidade de entrega e qualidade do software, mas também a segurança como parte do ciclo de desenvolvimento de um software. Com a utilização de SecDevOps isso é possível!

Sendo assim, podemos afirmar que DevSecOps é a integração da equipe de segurança com as equipes de desenvolvimento e operações. Ou seja, esse método busca todos os benefícios do DevOps sem renunciar a segurança e, ainda, utiliza a mesma filosofia de entrega rápida, adicionando etapas de segurança no ciclo de desenvolvimento de software.

Quais são os objetivos do DevSecOps?

Dentre os principais objetivos do DevSecOps podemos citar:

  • adição de reviews de segurança no código fonte e na infraestrutura de uma aplicação; 
  • feedbacks para as equipes de desenvolvimento e operações, sobre como resolver os problemas de segurança.

Contudo, para que todo esse sistema funcione, as três ferramentas mais utilizadas no DevSecOps, de acordo com o IT Glossary do Gartner, são:

SAST:  Static Application SecurityTesting 

O SAST é um conjunto de tecnologias que analisa o código fonte e de máquina de uma aplicação, em busca de falhas de segurança. Por tanto, esse review é realizado em aplicações que não estão em execução, pois o foco é realizar uma análise de dentro para fora da aplicação.

DAST: Dynamic Application SecurityTesting 

DAST são tecnologias que detectam vulnerabilidades em aplicações no estado de execução. Grande parte das soluções DAST visa o teste em aplicações Web (HTTP), porém existem soluções que realizam os testes em outros tipos de protocolos. Nessa tecnologia foco, também é, realizar uma análise de dentro para fora da aplicação

IAST: Interactive Application Security Testing 

IAST é uma aplicação de testes de segurança emergente que irá contribuir para o crescimento do segmento até 2021. A mesma combina SAST e DAST para interagir com a aplicação em uma análise completa, tanto de dentro para fora como de fora para dentro.

Fortalecendo a segurança com DevSecOps

De acordo uma pesquisa publicada pela Veracode, em setembro de 2016, sobre como fechar as brechas de segurança de maneira eficaz, podemos destacar alguns pontos.

O primeiro é que, a maioria das empresas (55.8%) utiliza Web Application Firewalls (WAFs) como meio de proteção de suas aplicações. Porém, o WAF evita ameaças, por isso, essa estratégia não é muito eficaz. 

Por exemplo, imagine um buraco em um telhado e o WAF funcionando como um esparadrapo tapando o buraco. Inicialmente, é possível estancar as goteiras, mas o buraco (vulnerabilidade) continuará lá.

Outro destaque da pesquisa é que equipes que aplicam segurança durante o ciclo de desenvolvimento de software gastam 22% menos tempo fazendo retrabalho, e possuem 29% mais tempo para novos trabalhos.

Portanto, adotar a estratégia de DevSecOps significa fechar a brecha definitivamente, ou seja, resolver o problema pela raiz. Além de reduzir o retrabalho e otimizar o tempo para dedicação à inovação em outras áreas da companhia. 

Sendo assim, se a sua empresa já aplica DevOps e se preocupa com a segurança de seus produtos, o conceito de DevSecOps é algo que você deve colocar em seu roadmap!