O software dirige todos os negócios hoje. Capacita operações, transações, comunicações – praticamente todas as facetas da organização digital. Conclui-se que garantir a segurança de aplicativos e sistemas operacionais é uma grande prioridade para as equipes de desenvolvimento e segurança. É aqui que o DevSecOps desempenha um papel fundamental.
DevSecOps é a abreviação de desenvolvimento, segurança e operações. Uma extensão do modelo devops para desenvolvimento de software, envolve a aplicação de medidas de segurança ao longo do ciclo de vida de desenvolvimento de software (SDLC). O DevSecOps pede que todos os envolvidos no processo de desenvolvimento estejam cientes da necessidade de segurança. Como modelo, o engloba um conjunto de práticas para aumentar a colaboração entre as equipes de segurança, desenvolvimento e operações, com o objetivo de tornar o software mais seguro.
Exemplos de práticas de DevSecOps incluem revisões de design de segurança, varredura de código em busca de vulnerabilidades de segurança e correção de bugs que apresentam ameaças legítimas. Ao introduzir a segurança no início do SDLC, o DevSecOps garante que a organização leve a segurança a sério, em vez de tratá-la como uma reflexão tardia. Parte do esforço de instituir o DevSecOps inclui fazer as mudanças necessárias no processo, na cultura e na tecnologia.
Por que o DevSecOps é importante
As vulnerabilidades de software podem se tornar pontos de entrada para os cibercriminosos lançarem ataques, que podem afetar cadeias de suprimentos inteiras. Um exemplo recente é uma vulnerabilidade descoberta no Apache Log4j no final de 2021. O Log4j, um pacote Java localizado nos sistemas de registro Java, facilita o registro de dados pelos aplicativos Java. É amplamente utilizado e altamente difundido.
No final do ano passado, os engenheiros descobriram uma falha de execução remota de código no Log4j que permite que os hackers assumam o controle dos sistemas e de seus dados. O bug também coloca milhões de dispositivos em risco. Na verdade, qualquer dispositivo conectado à Internet executando certas versões do Log4j corre o risco de ser afetado pelo bug. Dado o quão difundido é o Log4j, a ameaça é séria.
Log4j é apenas um exemplo. Dado que os negócios digitais são altamente dependentes de aplicativos, garantir a segurança do software é extremamente importante. DevSecOps é um modelo para fazer isso.
Jim Mercer, diretor de pesquisa, DevOps e DevSecOps, da IDC (International Data Corp), observa que a segurança de aplicativos e a segurança da cadeia de suprimentos de software estão recebendo muita atenção devido a vulnerabilidades de alto perfil, como Log4j.
Benefícios do DevSecOps
As organizações podem se beneficiar de várias maneiras com a adoção do modelo DevSecOps. Talvez o mais óbvio seja a segurança de software mais forte. Ao implementar controles de segurança nos estágios iniciais do desenvolvimento e, em seguida, continuar o foco na segurança até a produção, as equipes de desenvolvimento podem fornecer produtos mais seguros.
Outro benefício é o aumento da colaboração entre as equipes de desenvolvimento e segurança. Essas equipes às vezes podem estar em desacordo por causa de seus objetivos diferentes. O atrito resultante pode afetar a produtividade. Trabalhar em conjunto em direção a objetivos colaborativos é uma maneira de mitigar o atrito. Para os desenvolvedores, há também a oportunidade de obter novos conhecimentos relacionados à segurança cibernética.
Ainda outro benefício é a entrega de software mais rápida. O DevSecOps incentiva as equipes a avaliar, revisar e testar o código em cada etapa do processo de desenvolvimento, em vez de adiar essa parte do ciclo de desenvolvimento para mais tarde. O teste geralmente ajuda as equipes a evitar revisões complexas e demoradas para corrigir vulnerabilidades de segurança no futuro.
O DevSecOps substitui os devops?
O DevSecOps não é tanto um substituto para os devops quanto uma evolução do modelo. Ele desenvolve os principais conceitos de devops com ênfase na segurança.
Devops é uma abordagem para o desenvolvimento de software que destaca a colaboração, a comunicação e a estreita integração entre o desenvolvimento de software de uma organização e as funções de operações de TI. Nos devops, o objetivo é produzir software de forma mais rápida e eficiente. Como o nome indica, o DevSecOps adiciona uma camada de segurança er aos processos de desenvolvimento e operações englobados pelos devops.
Há uma sobreposição considerável entre os dois – por exemplo, ambos enfatizam a automação e a colaboração em equipe. Mas no caso do DevSecOps, a colaboração é entre profissionais de desenvolvimento e segurança, enquanto no devops é entre desenvolvimento e operações.
Ferramentas de DevSecOps
As organizações podem implantar várias ferramentas de tecnologia para dar suporte a seus programas DevSecOps. Essas ferramentas ajudam a minimizar os riscos nos pipelines de desenvolvimento de software sem desacelerar a produção. Eles fazem isso encontrando e corrigindo vulnerabilidades por meio de testes de segurança contínuos.
As ferramentas DevSecOps também permitem que as equipes de segurança gerenciem com eficiência a segurança dos projetos de desenvolvimento sem a necessidade de revisar e aprovar manualmente cada versão.
Um exemplo de ferramenta DevSecOps é o scanner de vulnerabilidade. Essas ferramentas verificam automaticamente o software em vários estágios de desenvolvimento para procurar vulnerabilidades conhecidas. A varredura de vulnerabilidade de código aberto ou análise de composição de software (SCA) identifica e compara os componentes de código aberto de seu software com bancos de dados de vulnerabilidade, avisos de fornecedores de software e outras fontes de segurança para detectar falhas.
Outra ferramenta DevSecOps é o teste de segurança de aplicativo estático (SAST), que permite que os desenvolvedores verifiquem o código-fonte em busca de códigos fracos ou inseguros. Esse tipo de teste pode identificar possíveis problemas de segurança que precisam ser resolvidos. A integração do SAST ao DevSecOps SDLC ajuda a garantir que os componentes vulneráveis sejam corrigidos antes de se moverem pelos vários estágios do pipeline.
Na pesquisa “DevSecOps22: simplificando a complexidade em um mundo em mudança”, divulgada pela Progress, mais de 600 tomadores de decisão de TI, segurança, desenvolvimento de aplicações e DevOps compartilharam insights globais sobre o nível de maturidade do DevSecOps e os desafios enfrentados em suas organizações. O relatório global completo e os resultados podem ser encontrados aqui.
A pesquisa visa descobrir o estado da adoção de DevOps e DevSecOps. O estudo inclui pontos como prioridades de negócios, adoção de tecnologia, desalinhamento cultural e de investimentos, armadilhas e sucessos comuns de empresas ao redor do mundo.
Os resultados significativos da pesquisa incluem:
- Muitas empresas estão atrasadas no cumprimento de suas metas de DevOps e DevSecOps. 73% delas disseram que poderiam estar fazendo mais. 76% das organizações latino-americanas reconhecem que precisam ser mais estratégicas sobre como gerenciam DevSecOps e 17% ainda se consideram em um estágio exploratório e de prova de conceito.
- A segurança é o principal fator por trás da maioria das implementações de DevOps e DevSecOps. No entanto, apenas 30% se sentem confiantes no nível de colaboração entre segurança e desenvolvimento, 86% enfrentam desafios em suas abordagens atuais de segurança e 51% admitem que não entendem completamente como a segurança se encaixa no DevSecOps.
- 71% dos entrevistados concordam que a cultura é a maior barreira para o progresso do DevSecOps, mas apenas 16% estão priorizando a cultura como área a ser otimizada nos próximos 12 a 18 meses.
Dados do Brasil
Segundo o estudo, os três principais fatores relacionados aos negócios que devem impulsionar a adoção e a evolução do DevOps nas organizações brasileiras ao longo dos próximos dois anos são: melhorar a gestão do ambiente de trabalho distribuído e/ou remoto (73%); aumentar a agilidade dos negócios (69%); reduzir os riscos de qualidade, segurança e tempo de inatividade ou problemas de desempenho (63%).
Em relação aos atributos tecnológicos, os benefícios mais procurados pelos executivos brasileiros ao adotar o DevOps em suas estratégias são: permitir o sucesso de projetos agile dev e cloud native (61%); melhor administrar os esforços relacionados à qualidade (61%); melhorar o gerenciamento de ameaças e problemas de segurança cibernética (57%).
Quanto aos fatores que têm impulsionado a segurança em torno do DevOps no Brasil, destacam-se: crescimento das exigências regulatórias (76%), preocupações com perdas ou impactos financeiros (75%) e segurança das cargas de trabalho alocadas em nuvem pública (69%).
Outros destaques
As organizações bem-sucedidas na implementação de políticas e práticas de DevOps e DevSecOps reconhecem a importância do treinamento de segurança e do aprimoramento de habilidades. Isso os ajuda a alcançar um nível mais alto de colaboração contínua e de longo prazo entre as equipes de segurança e desenvolvimento.
De acordo com os entrevistados, os principais fatores de negócios que impulsionam a adoção e a evolução do DevOps em suas organizações incluem foco na agilidade, redução do risco de negócios de qualidade, segurança e tempo de inatividade ou problemas de desempenho, e a necessidade de implementar o DevOps para dar suporte a uma nuvem ou migração para a nuvem. Outras áreas de destaque na pesquisa incluem esforços de modernização de infraestrutura, política como código, adoção de nuvem, tempo para ROI, oportunidades de investimento, educação, entre outros.
Para Francisco Lárez, vice-presidente da Progress na América Latina e Caribe, a integração do DevOps aos processos de segurança das organizações possibilita inúmeros benefícios, como redução de riscos e custos, ao mesmo tempo em que oferece uma conformidade mais eficaz. “Nossa pesquisa reflete a experiência diária que temos com os nossos clientes – cada um possui sua própria cultura e trajetória, com pontos de inflexão e desafios para a adoção do DevSecOps. Daí a importância de entendermos esses aspectos para tornarmos o DevSecOps uma realidade automatizada para os negócios.”
A corrida para a digitalização acelerou em todos os aspectos dos negócios, e as organizações que digitalizaram melhor são as que estão progredindo. Muitas contam com empresas como a Progress para atender a todo o ciclo de vida do DevSecOps, desde o design até o desenvolvimento e a garantia operacional, incluindo gerenciamento seguro de infraestrutura de nuvem híbrida, observabilidade total e alta disponibilidade.
O estudo “DevSecOps 2022: simplificando a complexidade em um mundo em mudança” foi conduzido pela Insight Avenue, empresa de pesquisa sediada no Reino Unido, especializada em tecnologia business-to-business. A equipe conduziu 606 entrevistas com tomadores de decisão em TI/Segurança/App Dev e DevOps em organizações com mais de 500 funcionários de 11 países da Europa, Ásia, América Latina e Estados Unidos.
