Entenda o que é a abordagem DevSecOps e qual é a sua importância
A vida das equipes de desenvolvimento de aplicações não é nada fácil. Com o nascimento de novas metodologias de trabalho como Agile e DevOps, as empresas passaram a priorizar a rapidez e agilidade na criação dos softwares, lançamento de atualizações e disponibilidade de novos recursos. Por conta disso, historicamente falando, o fator segurança sempre acabou sendo deixado de lado durante as etapas do ciclo de desenvolvimento — e não podemos culpar os programadores por isso.
Ainda nos dias de hoje, é comum que tais profissionais sejam pressionados para entregar o mais rápido possível, colocando o produto nas ruas o quanto antes e só posteriormente trabalhando na resolução de vulnerabilidades que eventualmente vão sendo encontradas. Obviamente, isso cria situações perigosas tanto para o usuário final quanto no âmbito corporativo: afinal, além de apps repletos de falhas de segurança, essa situação também cria soluções vulneráveis que podem acabar afetando toda a cadeia de suprimentos.
Foi para resolver essa questão que foi criada a DevSecOps — junção das palavras development (desenvolvimento), security (segurança) e operations (operações). Não se trata de uma plataforma ou um framework escrito a ferro e fogo, mas sim uma abordagem de trabalho que propõe envolver a equipe de segurança em todo o ciclo de desenvolvimento de uma aplicação. Ou seja: conceitos de proteção de dados se tornam uma preocupação desde os primórdios do desenho do software, passando por sua criação e entrega final.
Segurança de todos e para todos
A mentalidade DevSecOps, diferente do que muitos pensam a priori, não foi criada para tornar os ciclos de desenvolvimento mais lentos — muito pelo contrário, a abordagem visa agilizar ainda mais a vida das equipes de desenvolvimento, pois é muito mais fácil construir um código que contenha segurança por padrão (security by default) do que trabalhar posteriormente em patches de atualização para remediar falhas encontradas quando ele já estiver sendo utilizado. Assim, todo o ciclo se torna mais produtivo e até mesmo barato!
Shannon Lietz, coautor do “DevSecOps Manifesto”, explica: “O objetivo e a intenção do DevSecOps é desenvolver a mentalidade de que todos são responsáveis pela segurança com o objetivo de distribuir de maneira confiável as decisões de segurança em velocidade e escala para aqueles que possuem o mais alto nível de contexto, sem sacrificar a segurança necessária”. Essa cultura descrita por Shannon está alinhada com as novas visões do mercado — privacidade e segurança devem ser uma preocupação vertical.
Implementando em sua empresa
Como explicamos anteriormente, DevSecOps é uma abordagem, uma modalidade de trabalho, então não existe uma receita de bolo a ser seguida para aplicar tal mindset em uma empresa. Há, porém, uma série de frameworks prontos e disponíveis na internet que podem ser usados como base. No geral, o mais importante é garantir que ao menos um profissional de segurança da informação esteja 100% incluído em todos processos de desenvolvimento da aplicação, analisando códigos e realizando testes em tempo real.
Felizmente, o mercado também está colaborando para que a metodologia DevSecOps se torne cada vez mais popular e acessível. Muitos ambientes de desenvolvimento já permitem maior colaboração entre times, facilitando a integração e comunicação dos profissionais envolvidos no projeto. Um bom exemplo disso é o novo Xcode Cloud, da Apple, que é baseada em nuvem e permite que toda a equipe colabore — mesmo remotamente — em compilações, testes, commits e assim por diante.