A era dourada das melhores práticas de software DevOps se estabeleceu sobre nós como um cobertor aconchegante de consistência. Dentro desta utopia de gerenciamento de mudanças perfeito e padrões industriais bem lubrificados, surgiu uma progressão natural em direção a uma cibersegurança à prova de falhas chamada DevSecOps.
Claro, quando eu digo "era dourada" eu realmente quero dizer "Velho Oeste". E por "cobertor aconchegante de consistência" eu realmente quero dizer "folha de papel fria de incerteza". Em toda a indústria de tecnologia, a implementação de DevOps significa coisas diferentes para diferentes empresas — mesmo dentro de algumas empresas, significa coisas diferentes para diferentes equipes.
Desvendando o DevSecOps
Desde que o termo foi cunhado há uma década, o significado de DevOps permaneceu nebuloso, e o cenário atual representa uma miscelânea de fluxos de trabalho DevOps. Ferramentas essenciais como ferramentas CI/CD têm visto uma adoção generalizada, enquanto produtos como software de gerenciamento de fluxo de valor estão espalhados por algumas poucas empresas selecionadas.
No mundo da tecnologia, isso significa que é o momento perfeito para causar uma disrupção — e o DevSecOps é exatamente isso.
O que é DevSecOps?
DevSecOps, que significa Operações de Segurança de Desenvolvimento, apresenta um chamado à ação necessário embalado como uma palavra da moda insuportável. A mensagem subjacente é urgente e pungente: a cibersegurança, também, deve ser um padrão no fluxo de trabalho DevOps (desenvolvimento e operações de TI). Dada a natureza dos ambientes de software de entrega contínua, tornou-se cada vez mais difícil para os profissionais de cibersegurança limparem a bagunça deixada pelos desenvolvedores. O DevSecOps visa criar código altamente seguro por design, em vez de depois do fato.
(Quanto ao próprio termo, bem... ele estabelece um precedente interessante para convenções de nomenclatura. Existem muitos princípios benéficos que podem — e devem — se integrar com processos DevOps bem-sucedidos, mas não vamos chamá-lo de DevSecPrivMindfulnessAIOps.)
Resta saber se o termo DevSecOps vai pegar, mas por enquanto ele faz seu trabalho, enviando calafrios pela espinha da indústria. Talvez isso tenha mais a ver com a terminologia nauseante do que com suas implicações, mas ainda serve como um alerta para as equipes de desenvolvimento sobre a necessidade muito real de código seguro. Como as empresas e equipes respondem a esse chamado?
| Leia a seguir: Explore as tendências emergentes de desenvolvimento de software e DevOps em nossa previsão de Tendências Digitais de Desenvolvimento de Software de 2020 → |
Quer aprender mais sobre Ferramentas de Entrega Contínua? Explore os produtos de Entrega Contínua.
Ferramentas DevSecOps
As equipes DevOps precisam da pilha de software certa para realizar plenamente o DevSecOps, ou segurança por design. Além disso, essas ferramentas devem se integrar suavemente com pipelines pré-existentes.
Em um mundo ideal, o produto perfeito para o trabalho também automatizaria a maior parte da carga de trabalho. Os desenvolvedores não vão seguir o ritmo de uma forte cibersegurança a menos que a solução seja livre de dores de cabeça. Além de algumas sessões de treinamento firmes e um fornecimento constante de ibuprofeno, quais são as opções?
Finalmente encontrando algum espaço no mercado após alguns anos de estagnação, as ferramentas de análise de composição de software (SCA) apresentam uma solução automatizada e perfeita para os desenvolvedores gerenciarem os elementos de código aberto e de terceiros de suas aplicações. O processo de desenvolvimento de aplicações tende a acumular rapidamente uma pilha impressionante de dependências e componentes de terceiros. As ferramentas SCA se integram com fluxos de trabalho DevOps pré-existentes para escanear constantemente esses componentes em busca de vulnerabilidades e atualizações, garantindo segurança abrangente em meio ao emaranhado de chamadas de API. Esses produtos vão um passo além e até sugerem remediações de vulnerabilidades ao serem detectadas, tornando-os uma necessidade em qualquer espaço emergente de DevSecOps.
Outras ferramentas legadas que podem ser usadas e combinadas para criar um ambiente DevSecOps à prova de falhas incluem software de scanner de vulnerabilidades, software de teste de segurança de aplicação dinâmica (DAST), software de teste de segurança de aplicação estática (SAST), ou software de teste de penetração... veja, há muitas soluções para escolher. Todas contribuem com valor único para um fluxo de trabalho DevSecOps.
A metodologia DevSecOps está longe de ser padronizada
A abundância de diferentes soluções que abordam o DevSecOps, se realmente estamos chamando assim, parece ótima. No entanto, a indústria não concordou com uma mistura padrão de ferramentas para um ambiente de trabalho DevSecOps de "melhores práticas". Como resultado, acabamos com uma filosofia de trabalho vaga, em vez de um conjunto especificado de procedimentos para realmente implementar. Parece familiar?
Se as empresas querem evitar repetir o circo de implementação que chamamos de DevOps, estão começando mal. Basta olhar para a distribuição de uso nesta pesquisa de 57 profissionais de cibersegurança em diferentes indústrias conduzida pela ZeroNorth.
Esses resultados não evocam exatamente frases como "padrão da indústria" ou "tudo está bem". De sete possíveis ferramentas de escaneamento e teste, apenas uma vê uso em toda a empresa por mais de um quarto dos profissionais pesquisados. O que é particularmente problemático quando você percebe que isso nem é o conjunto de dados completo.
Este gráfico em particular teve que ser dividido em duas páginas diferentes do relatório da ZeroNorth. E claro, talvez eles pudessem ter feito a fonte um pouco menor. Mas ainda é um total de 12 tipos diferentes de ferramentas de cibersegurança viáveis — todas com implementação extremamente variada na indústria.
O mesmo relatório descobriu que 98% dos profissionais consideram a cibersegurança no DevOps como "extremamente importante" ou "muito importante". Todos geralmente concordam que as equipes DevOps devem adotar as melhores práticas de cibersegurança, mas todos têm ideias diferentes sobre o que isso significa. Este problema é inerente a filosofias vagas como "DevOps" e "DevSecOps": cada equipe vai interpretar essas filosofias com base em seu próprio fluxo de trabalho e cultura internos.
O futuro do DevSecOps em iniciativas DevOps e CI/CD
Com base no sentimento da indústria por uma melhor segurança na era da transformação digital, parece provável que a filosofia DevSecOps veio para ficar. A questão é se essa filosofia levará a uma aplicação padronizada — e quanto tempo isso levará. Se a última década de DevOps serve de base, provavelmente veremos um mosaico de implementação alimentado por palavras da moda e sonhos.
| Leia a seguir: Anúncios de líderes de cibersegurança no espaço de software DevOps refletem a nova ênfase que está sendo colocada na segurança DevOps → |
No entanto, é possível que a experiência da indústria com DevOps tenha preparado para esforços de transformação digital mais eficazes no futuro. Agora que as empresas encontraram seu espaço com iniciativas de nuvem, DevOps e CI/CD, uma nova adição brilhante ao ambiente de trabalho pode se mostrar menos etérea. Talvez a urgência crucial por segurança motive uma frente unificada.
Seja qual for a forma que tomar, podemos esperar ver grandes mudanças em direção ao DevSecOps em várias indústrias no futuro. Pode haver dores de crescimento ao longo do caminho, especialmente se desenvolvedores e parceiros de negócios virem novas iniciativas de segurança como obstáculos dentro de fluxos de trabalho eficientes. No entanto, as empresas devem encontrar maneiras de fazer o DevOps seguro funcionar se quiserem evitar o risco de fiascos de segurança custosos.
Adam Crivello
Adam is a research analyst focused on dev software. He started at G2 in July 2019 and leverages his background in comedy writing and coding to provide engaging, informative research content while building his software expertise. In his free time he enjoys cooking, playing video games, writing and performing comedy, and avoiding sports talk.
