fbpx

Uma introdução ao DevSecOps

Compartilhar no facebook
Compartilhar no linkedin
Compartilhar no twitter
Compartilhar no whatsapp
Compartilhar no telegram

Uma introdução ao DevSecOps

No mundo de hoje, como as mudanças estão ocorrendo, todos gostariam de práticas ágeis e modelos de entrega.

E com a introdução do DevOps, a indústria está alcançando a necessidade de ambientes seguros que ajudem os desenvolvedores a criar soluções automatizadas de teste / avaliação de segurança.

Nunca podemos esquecer a segurança e precisamos incluí-la como parte do ciclo de desenvolvimento do Agile para ajudar os desenvolvedores e evitar o envio das soluções com vulnerabilidades críticas.

Para estender e adicionar suporte a testes / avaliações de segurança, o DevSecOps (Dev + Sec + Ops) ajuda estendendo a estrutura de DevOps existente, adicionando ferramentas de segurança ao processo do IC. Isso ajuda os desenvolvedores a descobrir problemas específicos de segurança no código, executando os vários testes de segurança em um ambiente automatizado.

Desafios (sem DevSecOps)

  • Com o ritmo acelerado de desenvolvimento no mundo Ágil, há uma falta de foco na segurança durante o processo de desenvolvimento.
  • A qualidade da solução é frequentemente comprometida do ponto de vista da segurança, ao mesmo tempo em que se concentra nos recursos oferecidos durante o ciclo de vida de desenvolvimento do Agile.
  • Além disso, custa a reputação da organização quando vulnerabilidades críticas são encontradas na (s) solução (ões) enviada (s).
  • Os dados confidenciais do cliente são comprometidos devido à falta de foco nos testes de segurança.
  • Um grande esforço manual para realizar testes de segurança pode levar a um atraso na descoberta de vulnerabilidades críticas e, além disso, pode resultar no atraso das entregas ou no envio de vulnerabilidades desconhecidas.

Solução

Para minimizar o risco do ponto de vista da segurança, implementar uma solução de segurança automatizada integrada ao nosso sistema de CI (por exemplo, Jenkins) pode ajudar a descobrir problemas relacionados à segurança no início do ciclo de desenvolvimento. Isso ajuda a reduzir o risco de vulnerabilidades críticas serem enviadas em nosso software.

Algumas ferramentas de segurança conhecidas para dispositivos móveis / desktop estão listadas abaixo, como um exemplo de soluções SAST / DAST.

  • Coverity
  • FindSecurityBugs (FindBugs Plugin)
  • AppScan
  • Drozer
  • AndroBugs
  • Dependency Checker
  • SUPER
  • QARK
  • HP Fortify
  • Lint

É muito importante incluir segurança no ciclo de vida de desenvolvimento do Agile. Com o DevSecOps, os desenvolvedores podem entender melhor a criticidade das vulnerabilidades existentes em seus códigos e corrigir essas vulnerabilidades enquanto ainda oferecem produtos / soluções rápidos e mais seguros.