Entenda o DevSecOps

  • 1 minuto

Embora a adoção da computação em nuvem esteja aumentando para apoiar a produtividade dos negócios, a falta de infraestrutura de segurança pode comprometer inadvertidamente os dados.

O Relatório de Inteligência de Segurança da Microsoft de 2018 conclui que:

  • Os dados não são criptografados em repouso e em trânsito por:
    • 7% dos aplicativos de armazenamento de software como serviço (SaaS).
    • 86% por cento dos aplicativos de colaboração SaaS.
  • A proteção de sessão de cabeçalhos HTTP é suportada apenas por:
    • 4% dos aplicativos de armazenamento SaaS.
    • 3% dos aplicativos de colaboração SaaS.

DevOps seguro (ou DevSecOps)

DevOps é trabalhar mais rápido. A segurança é enfatizar o rigor. As preocupações com a segurança são normalmente abordadas no final do ciclo. Ele pode potencialmente criar trabalho não planejado logo no final do pipeline. O Secure DevOps integra o DevOps com a segurança em um conjunto de práticas projetadas para atender aos objetivos de DevOps e segurança de forma eficaz.

Diagram showing Venn Diagram with one DevOps circle and one Security circle overlapping. The overlap is labeled Secure DevOps.

Um pipeline de DevOps seguro permite que as equipes de desenvolvimento trabalhem rapidamente sem interromper seus projetos, introduzindo vulnerabilidades de segurança indesejadas.

Nota

O Secure DevOps também é às vezes chamado de DevSecOps. Você pode encontrar os dois termos, mas cada um se refere ao mesmo conceito.

Segurança no contexto do Secure DevOps

Historicamente, a segurança normalmente operava em um ciclo mais lento e envolvia metodologias de segurança tradicionais, como:

  • Controlo de acesso.
  • Endurecimento do ambiente.
  • Proteção perimetral.

O Secure DevOps inclui essas metodologias de segurança tradicionais e muito mais. Com o Secure DevOps, a segurança consiste em proteger o pipeline.

O Secure DevOps envolve determinar onde adicionar proteção aos elementos que se conectam aos seus pipelines de compilação e lançamento.

O Secure DevOps pode mostrar como e onde você pode adicionar segurança às suas práticas de automação, ambientes de produção e outros elementos de pipeline, enquanto se beneficia da velocidade do DevOps.

O Secure DevOps aborda questões mais amplas, como:

  • Meu pipeline está consumindo componentes de terceiros e eles são seguros?
  • Existem vulnerabilidades conhecidas em algum dos softwares de terceiros que usamos?
  • Com que rapidez posso detetar vulnerabilidades (também chamado de tempo para detetar)?
  • Com que rapidez posso corrigir as vulnerabilidades identificadas (também conhecido como tempo de remediação)?

As práticas de segurança para detetar possíveis anomalias de segurança devem ser tão robustas e rápidas quanto as outras partes do pipeline de DevOps. Também inclui automação de infraestrutura e desenvolvimento de código.