Colocando o “SEC” no DevSecOps: Uma redução geral do risco

Views: 365
0 0
Read Time:4 Minute, 18 Second

Nesta entrevista da Help Net Security, Cindy Blake, Evangelista Sênior de Segurança do GitLab, fala sobre a importância de integrar a segurança no DevSecOps e como superar a complexidade de tal integração.

A segurança em DevOps está sendo frequentemente negligenciada. Por que você acha que esse é o caso?

De acordo com a Pesquisa Global DevSecOps 2021 da GitLab, mais de três quartos dos entrevistados continuam a pensar que os desenvolvedores encontram poucos bugs tarde demais no ciclo de vida do desenvolvimento de software (SDLC). A complexidade da integração de segurança é um dos maiores desafios enfrentados pelo DevOps hoje. Isso ocorre porque os fluxos de trabalho de desenvolvimento iterativo podem tornar a segurança um gargalo de lançamento, por isso é negligenciado completamente. Além disso, a maioria das organizações não tem profissionais de segurança suficientes para testar todo o seu código. Como resultado, a segurança é frequentemente abordada por último — ou mesmo completamente deixado de fora — do fluxo DevOps.

Como é o caso da maioria das empresas, o ritmo da inovação precisa ser maior ou igual aos concorrentes para superá-los e, em última análise, ter sucesso. Quanto mais rápido os recursos puderem ser lançados e apreciados pelos usuários, mais cedo as empresas poderão gerar receita a partir desse código — e a realidade é que a segurança deve fazer parte disso para ser bem-sucedida.

A boa notícia é que muitas organizações mudaram a segurança, ou pelo menos começaram sua jornada, em um esforço para melhorar a velocidade de desenvolvimento e, ao mesmo tempo, gerenciar os riscos de segurança — na verdade, a pesquisa também descobriu que 35,9% desenvolvem software usando DevSecOps (onde a segurança é integrada ao desenvolvimento), em comparação com apenas 27% em 2020. Embora a segurança tenha sido tradicionalmente negligenciada, as organizações estão começando a valorizar a importância da segurança em seus processos DevOps. O mais novo desafio é a complexidade dessa integração ao usar ferramentas incumbentes.

Existe uma maneira de superar a complexidade de integrar a segurança no DevSecOps?

Ao defender DevSecOps, ou qualquer nova estratégia tecnológica, os líderes de TI precisam estar convencidos de que a adoção de novas ferramentas ou processos valerá a pena a longo prazo. Mudar para DevSecOps requer um investimento em tempo e recursos que às vezes podem levar anos. Este é um verdadeiro desafio que impede que as organizações coloquem o “segundo” em seus processos DevSecOps mais cedo.

A melhor maneira de trazer segurança para o processo de desenvolvimento é usando uma ferramenta que permite que os desenvolvedores permaneçam na mesma plataforma ou interface que já estão usando para confirmar, digitalizar e enviar código para produção. Isso torna o processo de segurança automático e contínuo toda vez que há uma atualização de código. Além disso, é fundamental que as organizações comecem pequenas. Você não precisa mudar completamente sua infraestrutura para fazer as coisas avançarem. Começar pequeno com uma equipe ou um projeto é muitas vezes a maneira mais bem-sucedida de implementar a mudança. Ter uma abordagem de plataforma integrada pode ajudá-lo a escalar mais rapidamente.

Como o DevSecOps pode beneficiar as empresas?

No cenário de ameaças em evolução de hoje, e especialmente com o aumento nos ataques cibernéticos da cadeia de suprimentos de software que vimos, não é suficiente apenas encontrar e corrigir vulnerabilidades de segurança no início do ciclo de vida do desenvolvimento de software.

DevSecOps adequados acabarão melhorando a simplicidade, fornecendo visibilidade anterior e dando maior controle sobre a segurança do SDLC de ponta a ponta. Construir segurança em todo o pipeline DevOps é fundamental para agilidade, avanço e proteção e, finalmente, economizará tempo, dinheiro e recursos das empresas quando feito corretamente.

Quão importante é o DevSecOps para o pipeline CI/CD?

DevSecOps integra controles de segurança e melhores práticas ao fluxo de trabalho DevOps por meio de pipelines CI/CD. Essas tubulações são semelhantes a uma linha de montagem para a fábrica de software. À medida que mais equipes tentam mudar para a esquerda, os testes de segurança automatizados dentro dos pipelines simplificam a adoção e a escalabilidade, melhorando a consistência.

As equipes que adotam uma estratégia DevSecOps não apenas desenvolverão software melhor e mais rápido, mas também melhorarão os resultados de negócios, identificarão bugs e detectarão vulnerabilidades antes de chegarem aos usuários.

Você diz que a segurança integrada será um pré-requisito. Você pode explicar o porquê?

A segurança integrada tornou-se um pré-requisito não apenas para automatizar um processo abrangente de verificação de segurança, mas também automatizar as políticas e ações tomadas quando exceções são encontradas. A aplicação consistente de políticas aos seus pipelines de CI/CD garante melhor segurança e conformidade regulatória – sem trabalho adicional. À medida que mais e mais organizações estão entendendo tanto a eficiência quanto a melhoria da segurança do DevSecOps, essa estratégia continuará a aumentar em 2022.

Os benefícios do DevSecOps fortes são claros — e o “sec” no DevSecOps será mais importante do que nunca, à medida que as organizações perceberem os benefícios com menos vulnerabilidades, implantações mais rápidas, menos tempo gasto em ações corretivas e uma redução geral do risco.

FONTE: HELPNET SECURITY

POSTS RELACIONADOS