O que é DevSecOps?
DevSecOps (abreviação em inglês de desenvolvimento, segurança e operações) é uma prática que integra iniciativas de segurança em cada estágio do ciclo de vida de desenvolvimento de software para fornecer aplicativos robustos e seguros.
DevSecOps infunde segurança no pipeline de integração e fornecimento contínuos (CI/CD, pela sigla em inglês), permitindo que as equipes de desenvolvimento abordem alguns dos desafios atuais de segurança mais urgentes e na velocidade do DevOps.
Tradicionalmente, as considerações e as práticas de segurança eram frequentemente introduzidas no final do ciclo de vida de desenvolvimento. No entanto, com o aumento de ataques contra segurança cibernética mais sofisticados e as equipes de desenvolvimento adotando iterações mais curtas e frequentes nos aplicativos, DevSecOps está se tornando uma prática difundida para garantir a segurança nesse ecossistema de desenvolvimento moderno.

DevSecOps for Dummies

Operacionalização de DevSecOps
Quais são os benefícios de DevSecOps?
A segurança é a prioridade de todas as organizações atualmente. Felizmente, a ênfase de DevSecOps na incorporação da segurança em todos os estágios está provando ser uma abordagem mais segura para o desenvolvimento, além de acompanhar a velocidade do ciclo de liberação atual.
A abordagem de DevSecOps traz benefícios específicos:
- Segurança aprimorada de aplicativos
DevSecOps incorpora uma abordagem proativa para mitigar ameaças de segurança cibernética logo no início do ciclo de vida de desenvolvimento. Isso significa que as equipes de desenvolvimento contarão com ferramentas de segurança automatizadas para testar o código em tempo real, realizando auditorias de segurança sem desacelerar os ciclos de desenvolvimento.
As equipes de DevOps revisarão, auditarão, testarão, verificarão e depurarão o código em vários estágios do processo de desenvolvimento para garantir que o aplicativo seja aprovado pelos controles de segurança essenciais. Quando as vulnerabilidades de segurança são expostas, as equipes de segurança e desenvolvimento de aplicativos trabalham de forma colaborativa em soluções no nível do código para resolver o problema.
- Responsabilidade compartilhada entre equipes
DevSecOps reúne as equipes de desenvolvimento e de segurança de aplicativos logo no início do processo de desenvolvimento, criando uma abordagem colaborativa entre equipes. Em vez de operações isoladas e distintas que sufocam a inovação e levam até mesmo à divisão entre as unidades de negócios, DevSecOps permite que as equipes trabalhem em sintonia desde o início, o que leva à adesão de todo o pessoal e a uma colaboração mais eficiente.
- Fornecimento otimizado de aplicativos
Incorpore a segurança logo no início e com frequência no ciclo de vida de desenvolvimento, automatize tantos processos de segurança quanto possível e simplifique os relatórios. Tudo isso melhora a segurança e habilita as equipes de conformidade, garantindo que as práticas de segurança resultem em ciclos de desenvolvimento rápidos.
Por exemplo, suponhamos que a equipe de desenvolvimento conclua todos os estágios iniciais de desenvolvimento de um aplicativo, apenas para constatar que há uma série de vulnerabilidades de segurança antes de colocar o aplicativo em produção. Nesse caso, pode haver um grande atraso na entrega.
- Limitação das vulnerabilidades de segurança
Aproveite a automação para identificar, gerenciar e corrigir vulnerabilidades e exposições comuns (CVE, pela sigla em inglês). Use soluções de verificação pré-criadas desde o início e com frequência, para conferir se há CVEs em imagens de contêiner pré-construídas no pipeline de compilação. Introduza medidas de segurança que não apenas mitiguem os riscos, mas também forneçam informações às equipes para que possam fazer correções rapidamente quando vulnerabilidades forem descobertas.
Um dos maiores benefícios de DevSecOps é criar um processo de desenvolvimento ágil, uma abordagem que, se feita corretamente, pode limitar bastante as vulnerabilidades de segurança. Muitos dos processos, tarefas e serviços de teste de segurança cibernética são facilmente integrados aos serviços automatizados encontrados em uma equipe de operações ou desenvolvimento de aplicativos.
Ao enfatizar uma abordagem que dá prioridade à segurança no processo de desenvolvimento, as organizações podem remover variáveis desconhecidas que, sem dúvida, influenciarão os cronogramas de liberação de produtos.
Por que DevSecOps é importante?
DevSecOps é importante no ambiente de negócios atual para reduzir a frequência crescente dos ataques cibernéticos. Ao implementar iniciativas de segurança desde o início e com frequência, os aplicativos em diversos setores obtêm os seguintes benefícios.
- Governo: os aplicativos que gerenciam informações governamentais altamente confidenciais são um alvo constante de ataques cibernéticos mal-intencionados. Ao fortalecer esses aplicativos com uma abordagem de desenvolvimento que dá prioridade à segurança, a chance de uma entidade mal-intencionada encontrar e explorar vulnerabilidades é reduzida consideravelmente.
- Assistência médica: DevSecOps está se tornando o padrão de referência para design de aplicativos no setor de assistência médica. À medida que as organizações são obrigadas a cumprir a HIPAA, está se tornando cada vez mais claro que uma abordagem que prioriza a segurança reduz muito a probabilidade de exposição ou exploração das PII dos pacientes.
- Finanças: DevSecOps também ajuda nas práticas de desenvolvimento no setor financeiro. Hoje, esse setor é um dos principais alvos dos ataques cibernéticos. Portanto, as empresas de desenvolvimento estão usando um modelo de DevSecOps para limitar a possibilidade de dados confidenciais se tornarem acessíveis aos criminosos cibernéticos.
Como DevSecOps funciona?
A abordagem de DevSecOps da VMware foi projetada para fornecer às equipes de desenvolvimento a pilha de segurança completa. Isso é obtido estabelecendo-se uma colaboração contínua entre as equipes responsáveis pelo desenvolvimento, gerenciamento de versões (também conhecido como operações) e segurança da organização e enfatizando essa colaboração ao longo de cada estágio do pipeline de CI/CD.
O pipeline de CI/CD é dividido em seis estágios conhecidos como "código", "criação", "armazenamento", "preparação", "implantação" e "execução".
Cada etapa do fluxo de trabalho é explicada aqui para ilustrar os benefícios de incorporar a segurança no início do processo.
- Código
A primeira etapa para uma abordagem de desenvolvimento alinhada a DevSecOps é codificar em segmentos que sejam protegidos e confiáveis. Aqui, o VMware Tanzu® fornece ferramentas que realizam atualizações regulares para esses componentes básicos seguros, a fim de proteger melhor seus dados e aplicativos desde o primeiro dia.
- Criação
Para, a partir do código, fornecer imagens de contêiner abrangentes que contenham um sistema operacional central, dependências de aplicativos e outros serviços de tempo de execução, é necessário um processo seguro. O VMware Tanzu Build Service™ gerencia isso com segurança e fornece verificações de dependências em tempo de execução para aprimorar a proteção, permitindo que as equipes de DevSecOps desenvolvam aplicativos de forma segura e ágil. - Armazenamento
Qualquer pilha de tecnologia pronta para uso precisa ser considerada um risco no cenário de segurança cibernética em constante evolução de hoje. Até agora, cada serviço de back-end ou aplicativo pronto para uso precisava ser verificado continuamente. Com as soluções VMware, os desenvolvedores podem extrair dependências consolidadas de forma segura com o VMware Tanzu e verificar se há vulnerabilidades na imagem do contêiner com o VMware Carbon Black Cloud Container™. - Preparação
Antes da implantação, as organizações precisam garantir que seus aplicativos estejam em conformidade com as políticas de segurança. Para isso, o VMware Tanzu e o Carbon Black Cloud Container podem validar as configurações em relação às políticas de segurança da organização antes da entrada nos estágios seguintes do ciclo de desenvolvimento. Essas configurações definem como a carga de trabalho deve ser executada, não apenas fornecendo informações importantes sobre possíveis vulnerabilidades, mas também definindo os próximos estágios do pipeline de CI/CD para uma implantação bem-sucedida. - Implantação
As verificações fornecidas nas etapas anteriores oferecem às organizações uma compreensão abrangente do nível de segurança do aplicativo. Aqui, as vulnerabilidades ou configurações incorretas no processo de desenvolvimento que foram identificadas são claramente apresentadas, o que permite às organizações corrigir problemas e definir padrões de segurança mais fortes para promover uma postura de segurança mais robusta. - Execução
À medida que as implantações são executadas, as equipes de SecOps podem aproveitar as técnicas de análise, o monitoramento e a automação da implantação ativa para garantir a conformidade contínua e, ao mesmo tempo, reduzir o risco de vulnerabilidades que surjam após a implantação.
DevSecOps x DevOps
Pelos nomes, seria fácil concluir que DevSecOps é simplesmente DevOps com a adição de segurança. No entanto, esse não é o caso.
DevOps: abreviação de desenvolvimento e operações. Concentra-se exclusivamente na colaboração entre essas duas equipes essenciais ao processo de desenvolvimento. Aqui, as duas equipes trabalham juntas para desenvolver processos, KPIs e marcos colaborativos. Ao fazer isso, a equipe de operações pode analisar os estágios de entrega mais detalhadamente, enquanto avalia atualizações contínuas e feedback da equipe de desenvolvimento.
DevSecOps é uma iteração de DevOps no sentido de que DevSecOps adotou o modelo de DevOps e o envolveu com a segurança como uma camada adicional para o processo contínuo de desenvolvimento e operações. Em vez de olhar para a segurança como uma consideração posterior, DevSecOps atrai as equipes de segurança de aplicativos desde o início para fortalecer o processo de desenvolvimento de uma perspectiva de segurança e mitigação de vulnerabilidades.
Soluções e produtos relacionados
Tanzu Application Platform
Plataforma com reconhecimento de apps executada em qualquer Kubernetes e nuvem
Tanzu for Kubernetes Operations
Infraestrutura de contêiner multi-cloud
VMware Aria Automation for Secure Clouds
Gerencie de forma proativa as informações de segurança de nuvem e os riscos de conformidade