Segurança da aplicação e funções de DevSecOps
O objetivo da segurança da aplicação e do DevSecOps é integrar garantias de segurança em processos de desenvolvimento e aplicações de linha de negócio (LOB) personalizadas.
Modernização
O desenvolvimento de aplicações está a ser rapidamente remodelado em vários aspetos em simultâneo, incluindo o modelo de equipa de DevOps, a cadência de lançamento rápido do DevOps e a composição técnica das aplicações através de serviços cloud e APIs. Veja como a cloud está a alterar as relações de segurança e as responsabilidades para compreender estas alterações.
Esta modernização de modelos de desenvolvimento antiquados apresenta uma oportunidade e um requisito para modernizar a segurança das aplicações e dos processos de desenvolvimento. A fusão da segurança em processos de DevOps é frequentemente denominada DevSecOps e gera alterações, incluindo:
- A segurança está integrada e não está fora da aprovação: O ritmo rápido de mudança no desenvolvimento de aplicações torna obsoletas as abordagens clássicas de "análise e relatório". Estas abordagens legadas não conseguem acompanhar os lançamentos sem moer o desenvolvimento para parar e criar atrasos no mercado, subutilização do programador e crescimento do registo de tarefas pendentes de problemas.
- Shift esquerda para envolver a segurança mais cedo em processos de desenvolvimento de aplicações, uma vez que corrigir problemas anteriormente é mais barato, mais rápido e mais eficaz. Se esperar até que o bolo seja assado, é mais difícil mudar a forma.
- Integração nativa: As práticas de segurança têm de ser integradas de forma totalmente integrada para evitar um atrito em mau estado de funcionamento nos fluxos de trabalho de desenvolvimento e nos processos de integração contínua/implementação contínua (CI/CD). Para obter mais informações sobre a abordagem do GitHub, veja Proteger software em conjunto.
- Segurança de alta qualidade: A segurança tem de fornecer informações e orientações de alta qualidade que permitam aos programadores corrigir problemas rapidamente e não perdem tempo com falsos positivos.
- Cultura convergida: As funções de segurança, desenvolvimento e operações devem contribuir com elementos-chave para uma cultura partilhada, valores partilhados e objetivos e responsabilidades partilhados.
- Segurança ágil: Shift security from a "must be perfect to ship" approach to an agile approach that starts with minimum viable security for applications (and for the processes to develop them) that is continuously improved incrementally.
- Abrace as funcionalidades de segurança e infraestrutura nativa da cloud para simplificar os processos de desenvolvimento ao mesmo tempo que integra a segurança.
- Gestão de riscos da cadeia de fornecimento: Utilize uma abordagem de confiança zero para software open source (OSS) e componentes de terceiros que validem a sua integridade e garantam que as correções e atualizações de erros são aplicadas a estes componentes.
- Aprendizagem contínua: O ritmo de lançamento rápido dos serviços de programador, por vezes denominados serviços de plataforma como serviço (PaaS), e a alteração da composição das aplicações significa que os membros da equipa de desenvolvimento, operações e segurança estarão constantemente a aprender novas tecnologias.
- Abordagem programática à segurança da aplicação para garantir a melhoria contínua da abordagem ágil.
Para obter mais contexto, veja Ciclo de vida de desenvolvimento seguro da Microsoft.
Composição da equipa e relações-chave
A segurança da aplicação e as funções DevSecOps são idealmente executadas por programadores com conhecimento de segurança e equipas de operações (com o suporte de especialistas em assuntos de segurança).
Esta função normalmente interage com outras funções e especialistas, incluindo:
- Arquitetura e operações de segurança
- Segurança de infraestrutura
- Comunicações (preparação e ferramentas)
- Segurança das pessoas
- Identidade e chaves
- Equipas de gestão de conformidade/risco
- Principais líderes empresariais ou respetivos representantes
Passos seguintes
Reveja a função de segurança de dados.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários