Responsabilidade e funcionalidade sempre foram palavras de ordem quando falamos no início do ciclo de vida de desenvolvimento de software. Assim, esta é uma boa ideia, mas é necessário mais. Especialmente em situações de DevOps, nas quais o software se move rapidamente e de maneira automatizada. As organizações com práticas de segurança altamente integradas também estão bem à frente com o DevOps. Portanto, o DevSecOps é o novo DevOps.
Por que o DevSecOps é o novo DevOps?
Portanto, a ênfase crescente na expansão do termo DevOps para DevSecOps – como explicado neste relato da Red Hat, DevSecOps significa:
pensar em segurança de aplicativos e infraestrutura desde o início. Também significa automatizar algumas portas de segurança para impedir que o fluxo de trabalho do DevOps diminua a velocidade.
O DevSecOps pode parecer uma atividade difícil, altamente técnica. Porém, na prática, é moldada por uma cultura aberta que busca oferecer inovação no ritmo acelerado que os clientes exigem cada vez mais.
As empresas que estão passando por transformações do DevOps desejam e precisam de orientações sobre como integrar a segurança, afirmam os autores de uma pesquisa recente divulgada pela Puppet, CircleCI e Splunk Inc.
DevOps aprimorado
A pesquisa Puppet/CircleCI/Splunk, que envolveu 3.000 desenvolvedores e gerentes, valida como o DevSecOps aprimora toda a prática do DevOps. A pesquisa constata que equipes de níveis mais altos de práticas de DevOps automatizaram suas políticas de segurança e envolvem equipes de segurança muito cedo no ciclo de vida de desenvolvimento de software. Isso inclui as fases de planejamento e design.
Vinte e dois por cento das empresas no nível mais alto de integração de segurança atingiram um estágio avançado da evolução do DevOps, em comparação com apenas seis por cento das empresas sem integração de segurança.
As empresas com o nível mais alto de integração de segurança, a pesquisa mostra, são capazes de implantar na produção sob demanda a uma taxa significativamente mais alta do que as empresas de todos os outros níveis de integração. Nada menos que 61% são capazes de fazê-lo. Apenas 49% das organizações sem segurança integrada podem implantar sob demanda.
Cultura DevOps é gatilho
Uma forte cultura DevOps também suporta uma segurança mais forte, segundo a pesquisa. Isso é definido como
uma cultura de compartilhamento, onde as equipes colaboram usando ferramentas comuns e trabalham em direção a objetivos comuns; onde as equipes de entrega têm forte autonomia, ainda é relativamente fácil cruzar os limites da organização para realizar o trabalho.
Qual é o melhor caminho para o DevSecOps?
A Cisco, uma organização de tecnologia em expansão com uma enorme participação comercial na entrega segura de software, vem empregando metodologias DevSecOps. O objetivo é avaliar e melhorar a postura de segurança em seus diversos pontos de venda na nuvem. Em um post recente, Steve Martino, vice-presidente sênior e diretor de segurança da informação da Cisco, compartilhou detalhes da jornada de sua empresa:
-
Estabelecer uma fundação
O uso de princípios orientadores claramente definidos para impulsionar a segurança em todo o processo de desenvolvimento ajuda a estabelecer confiança mútua entre as equipes de engenharia, operações e segurança, escreve Martino.
-
Prove primeiro
Na Cisco, realizamos um hackathon de segurança Agile com participantes das equipes de segurança da informação e aplicativos para primeiro configurar os requisitos de segurança mais importantes – o que chamamos de guardrails.
-
Automatize seus guardrails.
Forneça uma maneira fácil de suas equipes aplicarem os guardrails, como no momento do provisionamento de novas contas. Desenvolva também scripts simples para modernizar aqueles com contas existentes.
-
Valide continuamente
À medida que novos recursos são integrados ou outras alterações ocorrem, mantenha os trilhos atualizados com validação de segurança constante e monitoramento em tempo real dos logs de segurança. Considere a possibilidade de criar relatórios de integridade de segurança com base em critérios específicos de pontuação ou classificação para enviar aos inquilinos do departamento. em uma base regular.
Fonte: ZDNet