Entenda o DevSecOps
Embora a adoção da computação em nuvem esteja aumentando para apoiar a produtividade dos negócios, a falta de infraestrutura de segurança pode comprometer inadvertidamente os dados.
O Relatório de Inteligência de Segurança da Microsoft de 2018 conclui que:
- Os dados não são criptografados em repouso e em trânsito por:
- 7% dos aplicativos de armazenamento de software como serviço (SaaS).
- 86% por cento dos aplicativos de colaboração SaaS.
- A proteção de sessão de cabeçalhos HTTP é suportada apenas por:
- 4% dos aplicativos de armazenamento SaaS.
- 3% dos aplicativos de colaboração SaaS.
DevOps seguro (ou DevSecOps)
DevOps é trabalhar mais rápido. A segurança é enfatizar o rigor. As preocupações com a segurança são normalmente abordadas no final do ciclo. Ele pode potencialmente criar trabalho não planejado logo no final do pipeline. O Secure DevOps integra o DevOps com a segurança em um conjunto de práticas projetadas para atender aos objetivos de DevOps e segurança de forma eficaz.
Um pipeline de DevOps seguro permite que as equipes de desenvolvimento trabalhem rapidamente sem interromper seus projetos, introduzindo vulnerabilidades de segurança indesejadas.
Nota
O Secure DevOps também é às vezes chamado de DevSecOps. Você pode encontrar os dois termos, mas cada um se refere ao mesmo conceito.
Segurança no contexto do Secure DevOps
Historicamente, a segurança normalmente operava em um ciclo mais lento e envolvia metodologias de segurança tradicionais, como:
- Controlo de acesso.
- Endurecimento do ambiente.
- Proteção perimetral.
O Secure DevOps inclui essas metodologias de segurança tradicionais e muito mais. Com o Secure DevOps, a segurança consiste em proteger o pipeline.
O Secure DevOps envolve determinar onde adicionar proteção aos elementos que se conectam aos seus pipelines de compilação e lançamento.
O Secure DevOps pode mostrar como e onde você pode adicionar segurança às suas práticas de automação, ambientes de produção e outros elementos de pipeline, enquanto se beneficia da velocidade do DevOps.
O Secure DevOps aborda questões mais amplas, como:
- Meu pipeline está consumindo componentes de terceiros e eles são seguros?
- Existem vulnerabilidades conhecidas em algum dos softwares de terceiros que usamos?
- Com que rapidez posso detetar vulnerabilidades (também chamado de tempo para detetar)?
- Com que rapidez posso corrigir as vulnerabilidades identificadas (também conhecido como tempo de remediação)?
As práticas de segurança para detetar possíveis anomalias de segurança devem ser tão robustas e rápidas quanto as outras partes do pipeline de DevOps. Também inclui automação de infraestrutura e desenvolvimento de código.