Por mais que tal termo já surja com frequência nas discussões sobre segurança cibernética de aplicações, diversos profissionais ainda possuem dúvidas sobre o que realmente o conceito significa e quais ações práticas devemos tomar para adotá-lo.
Seja você um desenvolvedor, um profissional de cibersegurança ou um executivo da área de operações de uma companhia — ou seja, o responsável por “manter girando” a roda do core business —, é bem provável que já tenha se deparado com o termo DevSecOps. Com a rápida digitalização da entrega de bens e serviços que estamos presenciando nos últimos anos, essa palavra se tornou mais crítica do que nunca, uma vez que ela se refere a uma metodologia de trabalho que garante a entrega de sites, aplicações web, apps móveis e softwares de computador que sejam mais seguros para o usuário final.
Afinal, o que é o DevSecOps na prática? Qual é a importância de tal metodologia e por qual motivo toda empresa deve aplicá-la? E quais são os passos para que essa culture, de fato, perpetue em todo o ciclo de desenvolvimento de aplicações? Este texto visa justamente dar uma visão holística, porém mais simplista e introdutória, para quem ainda não compreendeu em totalidade como esse framework de trabalho pode não apenas mitigar incidentes, mas também destacar seu produto ou serviço no mercado. Afinal, a proteção de dados já deixou, há muito tempo, de ser um gasto para se transformar em um investimento.
Desenvolvimento + Operações + Segurança
Antes de entendermos o que é DevSecOps, é crucial entendermos de onde surgiu o seu ancestral — o DevOps. Nos tempos remotos da computação pessoal, a esteira de desenvolvimento de softwares era um tanto longa: pare para pensar o quanto nós aguardávamos para receber a nova versão de um software importante. Compilações eram, senão mensais, semestrais ou até mesmo anuais — isto posto, os programadores tinham tempo de sobra para trabalhar em seus códigos e questões de segurança eram deixados para o fim do ciclo de desenvolvimento, corrigindo eventuais falhas no debugging.
Nas últimas décadas, porém, esse cenário teve que mudar. Deixou de ser aceitável aguardar um mês para corrigir uma vulnerabilidade crítica que poderia colocar em risco a segurança dos dados pessoais do usuário ou até mesmo a integridade de sua máquina. Novos recursos eram requisitados o tempo todo e melhorias de desempenho se tornaram cruciais sobretudo para apps de dispositivos móveis. Tornou-se necessário adotar metodologias ágeis, que apressaram a esteira de desenvolvimento e colocaram os programadores junto do time de operações. É daí que surge o DevOps.
Porém, a cibersegurança sempre continuou sendo uma preocupação em segundo plano: era mais importante entregar logo uma nova versão de um produto ou serviço e corrigir eventuais brechas depois através de um patch dedicado. Só que o tempo decorrido entre o lançamento de uma nova compilação e seus patches de segurança é o suficiente para que um ator malicioso realize um ataque. Para solucionar esse problema, surge o DevSecOps, que coloca a equipe de segurança no meio de todo esse processo.
Segurança integrada desde o princípio
Se até então tínhamos dois times trabalhando em conjunto para garantir um ciclo de desenvolvimento mais ágil e comercialmente eficiente, agora temos um terceiro time “encapsulando” toda essa esteira, garantindo que a segurança da informação e a privacidade dos usuários sejam pontos que estejam atrelados a um projeto desde o seu desenho. A ideia é que as três equipes de profissionais tenham um trabalho com sinergia e possam otimizar as aplicações de forma contínua.
Existem diversos passos para implementar a metodologia DevSecOps em uma empresa — não se trata de algo que pode ser feito da noite para o dia. Realizar auditorias na infraestrutura atual em busca de falhas, automatizar testes de segurança, verificar de forma contínua a dependência de bibliotecas usadas e integrar ferramentas de segurança cibernética com aquelas utilizadas pela equipe de programadores são algumas iniciativas que servem como um pontapé para garantir o correto funcionamento desse método de trabalho — que, novamente, deve ser contínuo e visar sempre a otimização.
Como alguns exemplos práticos, podemos citar o uso de soluções como o OWASP Dependency Checker (que verifica a integridade de repositórios open source em busca de códigos maliciosos) para evitar o “envenenamento” de suas aplicações; a conexão de plataformas de análises de dados com os ambientes de desenvolvimento e até mesmo a escolha adequada do IDE (Integrated Development Environment ou Ambiente de Desenvolvimento Integrado) e do stack tecnológico mais apropriado para garantir que aquele produto cumpra requisitos mínimos de segurança.
Por fim, é claro que treinar os desenvolvedores sobre as melhores práticas e hábitos de higiene cibernética também é crucial para o sucesso da metodologia DevSecOps, que, no fim das contas, pode ser resumida pelo chamado ciclo PDCA: Plan, Do, Check e Act (planejar melhorias, executar testes, checar resultados e efetivamente aplicar as implementações necessárias).
–
A Agility oferece uma solução gerenciada completa de Proteção de Aplicações Multicloud (DevSecOps), saiba mais em: https://somosagility.com.br/xaas/protecao-de-aplicacoes-multicloud/