Explorar o shift-left para segurança
A abordagem shift-left é recomendada não apenas em relação aos testes. A mesma ideia se estende até o reino da segurança. Os princípios de DevSecOps destinam-se a transmitir a importância de incorporar a segurança em todas as fases do DevOps (começando com planejamento e desenvolvimento), da maneira às vezes conhecida como Segurança Contínua. A organização descrita em nosso cenário de exemplo está bem ciente das implicações de ignorar esses princípios. Nesta unidade, examine o significado da abordagem shift-left para a segurança e as maneiras recomendadas de implementá-la.
O que é a segurança de shift-left?
No contexto da segurança, o shift-left se traduz na introdução de atividades de segurança o mais cedo possível nos processos do ciclo de vida do software. Isso começa com a incorporação da segurança no design de software usando a modelagem de ameaças para identificar possíveis ameaças futuras, avaliar riscos e definir estratégias de mitigação. O processo continua durante todo o desenvolvimento de software implementando uma série de atividades relacionadas à segurança, como revisões de código e testes de segurança automatizados. As revisões de código devem incluir avaliações focadas em segurança, direcionamento a falhas de segurança, adesão a padrões de codificação e possíveis vulnerabilidades. O teste de segurança automatizado envolve tarefas como SAST (teste de segurança de aplicativo estático), DAST (teste de segurança de aplicativo dinâmico) e SCA (análise de composição de software), que são integradas a pipelines de CI/CD (integração contínua/implantação contínua).
O monitoramento contínuo, que faz parte da segurança contínua, é outro elemento adequado para a abordagem shift-left. Sua implementação envolve a aplicação de mecanismos de registro em log, monitoramento e resposta a incidentes desde o início do desenvolvimento.