Uma introdução ao DevSecOps

Sobre o autor: Guilherme Teles é um cara qualquer que não dorme direito e acaba escrevendo. Sou Certificado CISSP, CHFI, CEH, LPIC-3, AWS CDA, AWS SAA, AWS SOA Quer assinar a newsletter do site e receber esse e outros artigos? Clique aqui! Aproveite e navegue pelo smeu blog. Quem sabe você não está exatamente precisando de uma ajuda ?  

Uma introdução ao DevSecOps

No mundo de hoje, como as mudanças estão ocorrendo, todos gostariam de práticas ágeis e modelos de entrega.

E com a introdução do DevOps, a indústria está alcançando a necessidade de ambientes seguros que ajudem os desenvolvedores a criar soluções automatizadas de teste / avaliação de segurança.

Nunca podemos esquecer a segurança e precisamos incluí-la como parte do ciclo de desenvolvimento do Agile para ajudar os desenvolvedores e evitar o envio das soluções com vulnerabilidades críticas.

Para estender e adicionar suporte a testes / avaliações de segurança, o DevSecOps (Dev + Sec + Ops) ajuda estendendo a estrutura de DevOps existente, adicionando ferramentas de segurança ao processo do IC. Isso ajuda os desenvolvedores a descobrir problemas específicos de segurança no código, executando os vários testes de segurança em um ambiente automatizado.

Desafios (sem DevSecOps)

• Com o ritmo acelerado de desenvolvimento no mundo Ágil, há uma falta de foco na segurança durante o processo de desenvolvimento.
• A qualidade da solução é frequentemente comprometida do ponto de vista da segurança, ao mesmo tempo em que se concentra nos recursos oferecidos durante o ciclo de vida de desenvolvimento do Agile.
• Além disso, custa a reputação da organização quando vulnerabilidades críticas são encontradas na (s) solução (ões) enviada (s).
• Os dados confidenciais do cliente são comprometidos devido à falta de foco nos testes de segurança.
• Um grande esforço manual para realizar testes de segurança pode levar a um atraso na descoberta de vulnerabilidades críticas e, além disso, pode resultar no atraso das entregas ou no envio de vulnerabilidades desconhecidas.

Solução

Para minimizar o risco do ponto de vista da segurança, implementar uma solução de segurança automatizada integrada ao nosso sistema de CI (por exemplo, Jenkins) pode ajudar a descobrir problemas relacionados à segurança no início do ciclo de desenvolvimento. Isso ajuda a reduzir o risco de vulnerabilidades críticas serem enviadas em nosso software.

Algumas ferramentas de segurança conhecidas para dispositivos móveis / desktop estão listadas abaixo, como um exemplo de soluções SAST / DAST.

• Coverity
• FindSecurityBugs (FindBugs Plugin)
• AppScan
• Drozer
• AndroBugs
• Dependency Checker
• SUPER
• QARK
• HP Fortify
• Lint

É muito importante incluir segurança no ciclo de vida de desenvolvimento do Agile. Com o DevSecOps, os desenvolvedores podem entender melhor a criticidade das vulnerabilidades existentes em seus códigos e corrigir essas vulnerabilidades enquanto ainda oferecem produtos / soluções rápidos e mais seguros.

Sobre o autor: Guilherme Teles é um cara qualquer que não dorme direito e acaba escrevendo. Sou Certificado CISSP, CHFI, CEH, LPIC-3, AWS CDA, AWS SAA, AWS SOA Quer assinar a newsletter do site e receber esse e outros artigos? Clique aqui! Aproveite e navegue pelo smeu blog. Quem sabe você não está exatamente precisando de uma ajuda ?