Menu English version
Blog Infra como Código

DevSecOps: Integrando controles de segurança automatizados

A automatização dos controles de segurança em qualquer workflow é, em geral, vista como uma tarefa desafiadora para muitas organizações. A segurança continua a ser uma preocupação que aparece apenas no final do ciclo de desenvolvimento para os times e pode ser considerada um obstáculo para a produção acelerada de software.

No entanto, com os workflows nativos do DevOps, há uma oportunidade para que as orientações em relação à segurança sejam aplicadas mais cedo nos ciclos de vida dos aplicativos. Assim, as falhas serão identificadas mais cedo e poderão ser corrigidas com mais facilidade pelo time de desenvolvimento.  

Um dos desafios comuns para todos os times, enquanto é realizada a automação dos controles de segurança nos ciclos de desenvolvimento de software, é garantir que os produtos continuem a operar com a mesma eficiência, como se não tivesse nenhuma integração de segurança sendo executada naquele momento. As necessidades do negócio exigem que o software seja sempre desenvolvido e implementado o mais rápido possível.

 

A integração entre as equipes

Os desenvolvedores desejam codificar o software com qualidade, já a equipe de operações quer que o aplicativo esteja disponível e estável. Enquanto isso, a equipe de segurança deseja que ele não tenha vulnerabilidades e ofereça um baixo risco para a organização. Esta não é uma situação em que ter uma equipe de sucesso significa que outra precisa realizar um trabalho com menos precisão: é um ecossistema perfeito para o uso da colaboração entre os times.  A segurança é uma responsabilidade de cada indivíduo em uma organização e nunca deve ser mais importante do que o produto que está sendo entregue – ela deve ser vista como uma característica essencial dele.

 

O uso de controles de segurança ativos

Do ponto de vista da segurança, ao utilizar o controle de workflow de forma automatizada, é preciso identificar maneiras de observar e coletar os dados de forma passiva e ativa. As formas passivas de produzir dados podem incluir, por exemplo, métodos para calcular a densidade de falhas depois da análise ter sido realizada. Já os métodos ativos podem necessitar da paralisação do pipeline de lançamento para executar uma verificação de vulnerabilidades. É nessa fase do processo que as ferramentas integradas para a automação se tornam essenciais.

Quando você está gerando dados de forma ativa, você pode encontrar falhas na sua esteira de entrega. Quando os resultados da pesquisa realizada pela Sonatype em 2017 são analisados (Sonatype`s DevSecOps Community Survey), é possível verificar que a maioria das pessoas concorda que a integração de controles de segurança de maneira automatizada é difícil de ser realizada. É possível que, no próximo ano, a indústria possa encontrar maneiras inovadoras de realizar essa automação em seus workflows. Se houver um esforço em reduzir o tempo necessário para que a coleta de dados ativos relacionados à segurança ocorra, é possível garantir que não haverá a interrupção significativa do pipeline durante esse processo.

Conclusão

Os fluxos de trabalho nativos do DevOps variam entre as organizações. Por isso, ao integrar as suas ferramentas para a automatização da segurança, lembre-se de alinhar os objetivos da empresa aos do time. O importante é criar um ambiente de colaboração entre os profissionais para que o código e os processos sejam protegidos, sem afetar a agilidade e a qualidade do desenvolvimento de software.

 

Conheça o Sonatype Nexus

O Nexus é a ferramenta líder de mercado para o gerenciamento inteligente e integrado de repositórios. A Instruct é parceira oficial de Sonatype no Brasil para o desenvolvimento de projetos e consultorias estratégicas com o uso da solução. Para saber mais, clique aqui.

 

Post produzido em parceria com a Sonatype.