O que é o DevSecOps?
DevSecOps (abreviação em inglês de desenvolvimento, segurança e operações) é uma prática que integra iniciativas de segurança em cada estágio do ciclo de vida de desenvolvimento de software para fornecer aplicativos robustos e seguros.
O DevSecOps infunde segurança no pipeline de integração e fornecimento contínuos (CI/CD, pela sigla em inglês), permitindo que as equipes de desenvolvimento abordem alguns dos desafios de segurança mais urgentes de hoje na velocidade do DevOps.
Historicamente, as considerações e as práticas de segurança eram frequentemente introduzidas no final do ciclo de vida de desenvolvimento. No entanto, com o aumento de ataques contra segurança cibernética mais sofisticados e as equipes de desenvolvimento adotando iterações mais curtas e frequentes nos aplicativos, o DevSecOps está se tornando uma prática obrigatória para garantir a segurança nesse ecossistema de desenvolvimento moderno.

DevSecOps for Dummies

Operacionalização do DevSecOps
Quais são os benefícios do DevSecOps?
A segurança é a prioridade de todas as organizações atualmente. Felizmente, a ênfase do DevSecOps na incorporação da segurança em todos os estágios está provando ser uma abordagem mais segura para o desenvolvimento, ao mesmo tempo que atende à velocidade do ciclo de lançamento rápido de hoje.
A abordagem DevSecOps traz benefícios específicos:
- Segurança aprimorada de aplicativos
O DevSecOps incorpora uma abordagem proativa para mitigar ameaças de segurança cibernética logo no início do ciclo de vida de desenvolvimento. Isso significa que as equipes de desenvolvimento contarão com ferramentas de segurança automatizadas para testar o código em tempo real, realizando auditorias de segurança sem desacelerar os ciclos de desenvolvimento.
As equipes de DevOps verificarão, auditarão, testarão, verificarão e depurarão o código em vários estágios do processo de desenvolvimento para garantir que o aplicativo seja aprovado nos controles de segurança essenciais. Quando as vulnerabilidades de segurança são expostas, as equipes de segurança e desenvolvimento de aplicativos trabalham de forma colaborativa em soluções no nível do código para resolver o problema.
- Responsabilidade entre equipes
O DevSecOps reúne as equipes de desenvolvimento e de segurança de aplicativos logo no início do processo de desenvolvimento, criando uma abordagem colaborativa entre equipes. Em vez de operações isoladas que sufocam a inovação e até mesmo levam à divisão entre as unidades de negócios, o DevSecOps permite que as equipes se sintonizem desde o início, o que leva à adesão de todo o pessoal e a uma colaboração mais eficiente.
- Fornecimento de aplicativos simplificado
Incorpore a segurança com antecedência com mais frequência no ciclo de vida de desenvolvimento, automatize o máximo de processos de segurança possível e simplifique os relatórios para melhorar a segurança e permitir a conformidade das equipes, garantindo que as práticas de segurança incentivem os ciclos de desenvolvimento rápidos.
Por exemplo, se uma equipe conclui todos os estágios iniciais de desenvolvimento de um aplicativo, apenas para descobrir que há uma série de vulnerabilidades de segurança antes de colocar o aplicativo em produção, isso pode resultar em um grande atraso na entrega.
- Limite as vulnerabilidades de segurança
Aproveite a automação para identificar, gerenciar e corrigir vulnerabilidades e exposições comuns (CVE, pela sigla em inglês). Use soluções de verificação pré-criadas desde o início e com frequência para conferir se há CVEs em imagens de contêiner pré-construídas no pipeline de compilação. Apresente medidas de segurança que não apenas mitiguem os riscos, mas também forneçam informações às equipes para que elas possam fazer correções rapidamente quando as vulnerabilidades forem descobertas.
Um dos maiores benefícios do DevSecOps é que ele cria um processo de desenvolvimento ágil, uma abordagem que, se feita corretamente, pode limitar bastante as vulnerabilidades de segurança. Muitos dos processos, tarefas e serviços de teste de segurança cibernética se integram facilmente aos serviços automatizados encontrados em uma equipe de operações ou desenvolvimento de aplicativos.
Ao enfatizar uma abordagem que dá prioridade à segurança no processo de desenvolvimento, as organizações podem remover variáveis desconhecidas que, sem dúvida, influenciarão os cronogramas de lançamento do produto.
Por que o DevSecOps é importante?
O DevSecOps é importante no ambiente de negócios atual para reduzir a frequência crescente dos ataques cibernéticos. Ao implementar iniciativas de segurança desde o início e com frequência, os aplicativos em diversos setores obtêm os seguintes benefícios.
- Governo: os aplicativos que gerenciam informações governamentais altamente confidenciais são um alvo constante de ataques cibernéticos mal-intencionados. Ao fortalecer esses aplicativos com uma abordagem de desenvolvimento que dá prioridade à segurança, a chance de entidades mal-intencionadas encontrarem e explorarem vulnerabilidades é bastante reduzida.
- Assistência médica: o DevSecOps está se tornando o padrão de referência para design de aplicativos no setor de assistência médica. À medida que as organizações são obrigadas a cumprir a HIPAA, está se tornando cada vez mais claro que uma abordagem que prioriza a segurança reduz muito a probabilidade de exposição ou exploração das PII dos pacientes.
- Finanças: o DevSecOps também ajuda nas práticas de desenvolvimento no setor financeiro. Hoje, esse setor é um dos principais alvos dos ataques cibernéticos. Portanto, as empresas de desenvolvimento estão usando um modelo DevSecOps para limitar a possibilidade de dados confidenciais se tornarem acessíveis aos criminosos cibernéticos.
Como o DevSecOps funciona?
A abordagem de DevSecOps da VMware foi projetada para fornecer às equipes de desenvolvimento a pilha de segurança completa. Isso é obtido estabelecendo-se uma colaboração contínua entre as equipes responsáveis pelo desenvolvimento, gerenciamento de versão (também conhecido como operações) e segurança da organização e enfatizando essa colaboração ao longo de cada estágio do pipeline de CI/CD.
O pipeline de CI/DI é dividido em seis estágios conhecidos como "código", "criação", "armazenamento", "preparação", "implantação" e "execução".
Cada etapa do fluxo de trabalho é explicada aqui para ilustrar os benefícios de incorporar a segurança no início do processo.
- Código
A primeira etapa para uma abordagem de desenvolvimento alinhada ao DevSecOps é codificar em segmentos que sejam protegidos e confiáveis. Aqui, o VMware Tanzu® fornece ferramentas que realizam atualizações regulares para esses componentes básicos seguros para proteger melhor seus dados e aplicativos desde o primeiro dia.
- Criação
Para obter código e fornecer imagens de contêiner abrangentes que contenham um sistema operacional central, dependências de aplicativos e outros serviços de tempo de execução, é necessário um processo seguro. O VMware Tanzu Build Service™ gerencia isso com segurança e fornece verificações de dependências em tempo de execução para aprimorar a proteção, permitindo que as equipes de DevSecOps desenvolvam aplicativos de forma segura e ágil. - Armazenamento
Qualquer pilha de tecnologia pronta para uso precisa ser considerada um risco no cenário de segurança cibernética em constante evolução de hoje. Até agora, cada serviço de back-end ou aplicativo pronto para uso precisava ser verificado continuamente. Com a VMware, os desenvolvedores podem extrair dependências consolidadas de forma segura com o VMware Tanzu e verificar se há vulnerabilidades na imagem do contêiner com o VMware Carbon Black Cloud Container™. - Preparação
Antes da implantação, as organizações precisam garantir que seus aplicativos estejam em conformidade com as políticas de segurança. Para isso, o VMware Tanzu e o Carbon Black Cloud Container podem validar as configurações em relação às políticas de segurança da organização antes de entrar nos estágios seguintes do ciclo de desenvolvimento. Essas configurações definem como a carga de trabalho deve ser executada, não apenas fornecendo informações importantes sobre possíveis vulnerabilidades, mas também definindo os próximos estágios do pipeline de CI/CD para uma implantação bem-sucedida. - Implantação
As verificações fornecidas nas etapas anteriores oferecem às organizações uma compreensão abrangente do nível de segurança do aplicativo. Aqui, as vulnerabilidades ou configurações incorretas no processo de desenvolvimento que foram identificadas são claramente apresentadas, permitindo que as organizações corrijam problemas e definam padrões de segurança mais fortes para promover uma postura de segurança mais robusta. - Execução
À medida que as implantações são executadas, as equipes de SecOps podem aproveitar as técnicas de análise, o monitoramento e a automação da implantação ativa para garantir a conformidade contínua e, ao mesmo tempo, reduzir o risco de vulnerabilidades que surgem após a implantação.
DevSecOps x DevOps
Pelos nomes, é fácil pensar que DevSecOps é simplesmente DevOps com a adição de segurança. No entanto, esse não é o caso.
DevOps: abreviação de desenvolvimento e operações. Concentra-se exclusivamente na colaboração entre essas duas equipes integrantes do processo de desenvolvimento. Aqui, essas duas equipes trabalham juntas para desenvolver processos, KPIs e marcos colaborativos. Ao fazer isso, a equipe de operações pode analisar os estágios de entrega mais detalhadamente, enquanto avalia atualizações contínuas e feedback da equipe de desenvolvimento.
DevSecOps é uma iteração de DevOps no sentido de que DevSecOps adotou o modelo de DevOps e a segurança integrada como uma camada adicional para o processo contínuo de desenvolvimento e operações. Em vez de olhar para a segurança como uma consideração posterior, o DevSecOps atrai as equipes de segurança de aplicativos desde o início para fortalecer o processo de desenvolvimento de uma perspectiva de segurança e mitigação de vulnerabilidades.
Soluções e produtos relacionados
Tanzu Application Platform
Plataforma com reconhecimento de apps executada em qualquer Kubernetes e qualquer nuvem
Tanzu for Kubernetes Operations
Infraestrutura de contêiner multi-cloud
CloudHealth Secure State
Gerencie de forma proativa as informações de segurança de nuvem e os riscos de conformidade