Ninguém gosta de surpresas de última hora. Imagine, por exemplo, uma empresa de cibersegurança que desenvolveu um app para monitoramento de nuvens corporativas. Ele já foi testado e desenvolvido, e está pronto para lançamento, após meses de uma cooperação muito próxima entre as equipes de desenvolvimento e operações (DevOps), que envolveu todas as fases do ciclo de vida de desenvolvimento de software (SDLC). As expectativas em torno do app são enormes! Ele é então enviado para a equipe de segurança para uma revisão final, e aí começam os (vários) problemas. Ao contrário do esperado, são encontradas dezenas de vulnerabilidades. O app, que estaria pronto com semanas de antecedência, agora só poderá ser lançado meses depois do prazo inicial. Os prejuízos são enormes, tanto em recursos quanto em credibilidade.
É exatamente para evitar este tipo de situação que a abordagem DevSecOps foi desenvolvida. Em linhas gerais, ela integra segurança em todas as fases de desenvolvimento de uma solução e automatiza barreiras de segurança, para manter a velocidade do fluxo de trabalho de DevOps. Seus princípios básicos visam garantir a proteção de usuários ao mesmo tempo em que atendem aos objetivos de negócios relacionados a prazos e qualidade da solução ou produto desenvolvido. Vamos a seus pontos principais:
Conscientização: este é um pilar fundamental de DevSecOps. Ações desse tipo promovem a criação de uma cultura de segurança e são a chave para que as equipes que trabalham em conjunto vejam a segurança como um componente vital do desenvolvimento do software, e não como mais um item apenas. A promoção da conscientização depende do incentivo à colaboração entre as equipes, da responsabilização de cada membro da equipe pelos aspectos de segurança dos itens em que estão trabalhando, do oferecimento de treinamento para todos os envolvidos no projeto sobre atualização de ameaças e de realizar simulações de ataques voltadas para a identificação de vulnerabilidades de segurança;
Shift Left: em DevSecOps, a segurança é incorporada ao projeto a partir das fases iniciais do SDLC, o que consiste na abordagem Shift Left. A razão: é muito mais rápido e fácil corrigir vulnerabilidades nas fases iniciais de desenvolvimento, ainda durante a fase de design;
Colaboração: as equipes de desenvolvimento, operações e segurança devem ser reunidas e trabalhar em conjunto desde o início do projeto. A troca contínua e rápida de informações torna o processo de desenvolvimento mais inteligente, diminuindo eventuais mudanças de última hora;
Crie recursos com segurança – e não apenas de segurança: a segurança deve permear todos os aspectos do software que está sendo desenvolvido. De pouco adianta criar sistemas de segurança se eles lidam apenas com aspectos específicos da solução;
A velocidade e qualidade devem ser mantidas: certo, já falamos sobre questões envolvendo segurança e integração. Mas a velocidade do desenvolvimento não pode ficar em segundo plano. Ela deve se manter, assim como a qualidade do software. A incorporação de automação e segurança ainda nas fases iniciais de design do SDLC é uma estratégia importante para evitar lentidão e garantir que o ritmo de desenvolvimento e o prazo de entrega do software. Para isso, as equipes envolvidas no projeto devem ser capacitadas para o uso de ferramentas de automação de segurança, a exemplo de SonarQube e OWASP ZAP;
Essas características de DevSecOps mostram que a abordagem apresenta inúmeros vantagens no desenvolvimento de um projeto em comparação a DevOps. A união e coordenação de equipes diferentes e a mudança para uma cultura de conscientização que privilegie a segurança devem estar nas mentes de todos aqueles que desejam que seu software seja acolhido com entusiasmo pelo mercado.
Renato Batista, CEO da Netglobe Cyber Security.
