O que é DevSecOps?

DevSecOps, um termo relativamente novo no espaço de segurança de aplicativos (AppSec), trata da introdução da segurança no início do ciclo de vida de desenvolvimento de software (SDLC), expandindo a estreita colaboração entre as equipes de desenvolvimento e operações no movimento DevOps para incluir também as equipes de segurança.

Requer uma mudança na cultura, no processo e nas ferramentas das equipes funcionais principais, incluindo desenvolvimento, segurança, teste e operações. Basicamente, DevSecOps significa que a segurança é uma responsabilidade compartilhada e todos os envolvidos no SDLC têm uma função a desempenhar na construção da segurança no fluxo de trabalho DevOps CI / CD.

À medida que a velocidade e a frequência dos lançamentos aumentam, as equipes de segurança de aplicativos tradicionais não conseguem acompanhar o ritmo dos lançamentos para garantir que cada lançamento seja seguro.

Para resolver isso, as organizações precisam criar segurança continuamente em todo o SDLC para que as equipes de DevOps possam fornecer aplicativos seguros com velocidade e qualidade. Quanto mais cedo você puder introduzir a segurança no fluxo de trabalho, mais cedo poderá identificar e corrigir os pontos fracos e vulnerabilidades da segurança.

Esse conceito faz parte do “shift left”, que move os testes de segurança para os desenvolvedores, permitindo-lhes corrigir os problemas de segurança em seu código quase em tempo real, em vez de esperar até o final do SDLC, onde a segurança foi reforçada em ambientes de desenvolvimento tradicionais.

Por meio do DevSecOps, as organizações podem integrar a segurança perfeitamente em sua prática existente de integração contínua e entrega contínua (CI / CD). O DevSecOps abrange todo o SDLC, desde o planejamento e design até a codificação, construção, teste e lançamento, com ciclos de feedback e percepções contínuas em tempo real.

O que é DevOps?


DevOps é uma ideologia que compreende três pilares - cultura organizacional, processo e tecnologia e ferramentas - para ajudar as equipes de desenvolvimento e operações de TI a trabalhar de forma colaborativa para construir, testar e lançar software de maneira mais rápida, ágil e iterativa do que o desenvolvimento de software tradicional processos.

De acordo com o Manual do DevOps, “No DevOps ideal, os desenvolvedores recebem feedback rápido e constante sobre seu trabalho, o que permite que implementem, integrem e validem seu código de maneira rápida e independente, e tenham o código implantado no ambiente de produção.”

Em termos simples, DevOps trata de remover as barreiras entre duas equipes tradicionalmente isoladas, desenvolvimento e operações. Em um modelo de DevOps, as equipes de desenvolvimento e operações trabalham juntas em todo o ciclo de vida do aplicativo de software, desde o desenvolvimento e teste até a implantação e as operações.





DevOps x DevSecOps

Praticamente todas as organizações de software modernas agora usam um SDLC baseado em agile para acelerar o desenvolvimento e entrega de seus lançamentos de software, incluindo atualizações e correções.

Metodologias de desenvolvimento como DevOps e DevSecOps usam o framework ágil para diferentes propósitos. DevOps se concentra na velocidade de entrega de aplicativos, enquanto DevSecOps aumenta a velocidade com segurança, entregando aplicativos que são tão seguros quanto possível o mais rápido possível.

O objetivo do DevSecOps é promover o rápido desenvolvimento de uma base de código segura. De acordo com a filosofia DevSecOps, as organizações devem integrar a segurança em todas as partes do ciclo de vida do DevOps, incluindo concepção, design, construção, teste, lançamento, suporte, manutenção e muito mais.

No DevSecOps, a segurança é responsabilidade compartilhada de todos na cadeia de valor do DevOps. DevSecOps envolve colaboração contínua e flexível entre desenvolvimento, gerenciamento de lançamento (ou operações) e equipes de segurança.

Resumindo, DevSecOps ajuda a manter a velocidade sem comprometer a segurança.

Por que o DevSecOps é importante?

Em última análise, DevSecOps é importante porque incorpora a segurança no SDLC mais cedo e propositalmente. Quando as organizações de desenvolvimento codificam com a segurança em mente desde o início, é mais fácil e menos custoso capturar e corrigir vulnerabilidades antes que elas vão longe demais para a produção ou após o lançamento.

Organizações em vários setores podem implementar DevSecOps para quebrar silos entre desenvolvimento, segurança e operações para que possam lançar software mais seguro com mais rapidez:

  • Automotivo: Reduzir os longos tempos de ciclo e, ao mesmo tempo, atender aos padrões de conformidade de software, como MISRA e AUTOSAR.

  • Saúde: Para permitir esforços de transformação digital, mantendo a privacidade e segurança de dados confidenciais do paciente de acordo com regulamentos como HIPAA.

  • Financeiro, varejo e e-commerce: Para ajudar a corrigir os 10 principais riscos de segurança de aplicativos da Web da OWASP e manter a privacidade de dados e conformidade de segurança com os padrões de cartão de pagamento PCI DSS para transações entre consumidores, varejistas, serviços financeiros, etc.

  • Dispositivos incorporados, em rede, dedicados, de consumidor e IoT: para escrever código seguro que minimiza a ocorrência dos principais erros de software mais perigosos do CWE.

Quais ferramentas de segurança de aplicativos você precisa para implementar DevSecOps?

Para implementar o DevSecOps, as organizações devem considerar uma variedade de ferramentas de teste de segurança de aplicativo (AST) para integrar em seu processo de CI / CD.

Seguem algumas ferramentas AST comumente usadas:

  • Teste de segurança de aplicativo estático (SAST).

  • Análise de composição de software (SCA).

  • Teste de segurança de aplicativo interativo (IAST).

  • Teste de segurança de aplicativo dinâmico (DAST).

SAST

As ferramentas SAST examinam o código proprietário, ou código personalizado, em busca de erros de codificação e falhas de design que podem levar a vulnerabilidades exploráveis. São usadas principalmente durante as fases de código, construção e desenvolvimento do SDLC.

SCA

Ferramentas SCA, fazem a varredura de código-fonte e binários para identificar vulnerabilidades conhecidas em software livre e componentes de terceiros. Eles também fornecem informações sobre os riscos de segurança e licença para acelerar os esforços de priorização e correção.

Além disso, eles podem ser integrados perfeitamente em um processo de CI / CD para detectar continuamente novas vulnerabilidades de código aberto, desde a integração do build ao lançamento de pré-produção.

IAST

As ferramentas IAST, trabalhando em segundo plano durante testes funcionais manuais ou automatizados, analisam o comportamento do tempo de execução de aplicativos da web. IAST usa instrumentação para observar as interações de solicitação / resposta do aplicativo, comportamento e fluxo de dados.

Ele detecta vulnerabilidades de tempo de execução e reproduz e testa automaticamente as descobertas, fornecendo insights detalhados aos desenvolvedores até a linha de código onde ocorrem. Isso permite que os desenvolvedores concentrem seu tempo e esforço nas vulnerabilidades críticas.

DAST

DAST é uma tecnologia de teste automatizado de caixa preta que imita como um hacker interage com seu aplicativo da web ou API. Ela testa aplicativos em uma conexão de rede e examina a renderização do lado do cliente do aplicativo, da mesma forma que um testador de caneta faria.


Como implementar DevSecOps com Veracode?


A Veracode oferece serviços e soluções de segurança de aplicativos que oferecem uma abordagem mais simples e sistemática para reduzir o risco em aplicativos da web, móveis e de terceiros. Reconhecido como líder do Quadrante Mágico da Gartner desde 2010, o Veracode oferece segurança de aplicativos para centenas das maiores empresas do mundo.

O Veracode oferece uma plataforma unificada que permite às organizações implementar DevSecOps e abordar aplicativos de segurança desde o início até a produção. Com os serviços baseados em nuvem altamente escaláveis ​​da Veracode, as equipes de desenvolvimento podem encontrar e corrigir falhas no software em qualquer ponto do ciclo de vida do desenvolvimento.


Serviços Veracode para DevSecOps


Para dar suporte à implementação de DevSecOps, o Veracode fornece um poderoso conjunto de serviços de segurança de aplicativos.

  • Teste de segurança de análise estática: Os desenvolvedores podem fazer upload de qualquer aplicativo criado, comprado ou baixado para a plataforma segura da Veracode e receber rapidamente um inventário de possíveis falhas junto com conselhos de correção prioritários.

  • Análise de composição de software: O Veracode ajuda os desenvolvedores a construir um inventário de componentes de código aberto, identificando vulnerabilidades em código aberto e código comercial.

  • Teste de segurança de análise de fornecedor: O Veracode ajuda a reduzir o risco em software de terceiros com ferramentas que podem emitir uma simples aprovação ou falha para qualquer aplicativo de fornecedor. Como o Veracode verifica os binários em vez do código-fonte, os fornecedores estão mais dispostos a se submeter a avaliações de segurança, uma vez que não precisam divulgar a propriedade intelectual.

  • O Web Application Scanning: fornece ferramentas de teste de segurança de análise dinâmica para localizar e corrigir falhas em aplicativos já em produção.

Saiba mais sobre as possibilidades de uso do Veracode. Entre em contato conosco hoje mesmo.

66 visualizações0 comentário