Como devemos implementar a cultura DevSecOps de forma funcional e efetiva?

A implementação da metodologia DevSecOps requer colaboração entre os times de desenvolvimento, segurança e operações, envolvendo todos os aspectos do projeto. Mas, isso pode causar certa resistência de parte da equipe, tanto pela existência de um baixo conhecimento sobre segurança do time de desenvolvimento, quanto pela ideia de que essa preocupação atrasará o processo.

Entretanto, quando uma empresa opta por acelerar o desenvolvimento ao saltar etapas para identificar falhas em código não testado, a obtenção de ganhos tornam-se impensáveis nos modelos tradicionais. Isso decorre porque a maioria das violações de segurança explora uma vulnerabilidade do software.

As equipes de segurança são responsáveis por determinar se as ferramentas existentes podem ser integradas em um ambiente DevSecOps. Além disso, precisam identificar soluções alternativas onde forem necessárias e procedimentos/controles que necessitam ser atualizados ou adaptados.

À medida em que as organizações adotam o DevSecOps, é recomendável que tomem as seguintes medidas:

·        As ferramentas e processos de testes de segurança sejam adaptadas aos desenvolvedores;

·       Procurem concentrar-se na identificação e remoção de vulnerabilidades críticas desde o desenvolvimento;

·        Todos os desenvolvedores sejam treinados sobre os fundamentos da codificação segura.

Entretanto, a adoção do DevSecOps envolve questões culturais que necessitam ser trabalhadas para tornar a preocupação com a segurança um comportamento natural. As equipes devem construir sinergia, e o processo precisa ser totalmente compreendido. A mesma característica sistêmica do produto desenvolvido deve ser incorporada ao próprio desenvolvimento.

Em grandes empresas de software esta tarefa torna-se mais complexa , tendo em vista que nelas existe uma interação menor entre os departamentos. Isso ocorre porque o modelo tradicional, no qual as áreas da organização atuam com certa independência, não é compatível com a prática do DevSecOps e tão pouco a qualquer software house, não importa o porte.

Outra questão importante a ser considerada: A escalabilidade na nuvem exige a incorporação de controles de segurança em uma dimensão proporcional. A modelagem contínua de ameaças e o gerenciamento de compilações de sistemas tornam-se necessários à medida que os negócios impulsionados pela tecnologia evoluem em ritmo acelerado.

Diante desse cenário, alguns componentes são fundamentais ao pensar em uma abordagem DevSecOps:

·     entrega em partes menores para rápida identificação de deficiências;ou seja gradualidade de código

·        gerenciamento de demandas: aumento da eficiência e da velocidade;

·        monitoramento de conformidade: provisão para auditoria de conformidade a qualquer momento;

·        investigação de ameaças: identificação e resposta imediata a potenciais ameaças;

·        avaliação de vulnerabilidades: identificação de problemas e monitoramento do tempo de resposta e de correção;

·        treinamento: é uma das principais ações de mudança. A cultura não muda sem que as equipes envolvidas evoluam em seu conhecimento.

Concluindo, consideremos que a implantação do DevSecOps é perpassada pela consciência de que ela vai exigir dedicação constante. É um daqueles processos que têm começo, mas não fim. Mesmo depois de implantado, o modelo precisará ser aprimorado.

Preparados para o DevSecOps?

Espero que gostem, desejo a todos boa leitura.