Uma introdução ao DevSecOps
No mundo de hoje, como as mudanças estão ocorrendo, todos gostariam de práticas ágeis e modelos de entrega.
E com a introdução do DevOps, a indústria está alcançando a necessidade de ambientes seguros que ajudem os desenvolvedores a criar soluções automatizadas de teste / avaliação de segurança.
Nunca podemos esquecer a segurança e precisamos incluí-la como parte do ciclo de desenvolvimento do Agile para ajudar os desenvolvedores e evitar o envio das soluções com vulnerabilidades críticas.
Para estender e adicionar suporte a testes / avaliações de segurança, o DevSecOps (Dev + Sec + Ops) ajuda estendendo a estrutura de DevOps existente, adicionando ferramentas de segurança ao processo do IC. Isso ajuda os desenvolvedores a descobrir problemas específicos de segurança no código, executando os vários testes de segurança em um ambiente automatizado.
Desafios (sem DevSecOps)
- Com o ritmo acelerado de desenvolvimento no mundo Ágil, há uma falta de foco na segurança durante o processo de desenvolvimento.
- A qualidade da solução é frequentemente comprometida do ponto de vista da segurança, ao mesmo tempo em que se concentra nos recursos oferecidos durante o ciclo de vida de desenvolvimento do Agile.
- Além disso, custa a reputação da organização quando vulnerabilidades críticas são encontradas na (s) solução (ões) enviada (s).
- Os dados confidenciais do cliente são comprometidos devido à falta de foco nos testes de segurança.
- Um grande esforço manual para realizar testes de segurança pode levar a um atraso na descoberta de vulnerabilidades críticas e, além disso, pode resultar no atraso das entregas ou no envio de vulnerabilidades desconhecidas.
Solução
Para minimizar o risco do ponto de vista da segurança, implementar uma solução de segurança automatizada integrada ao nosso sistema de CI (por exemplo, Jenkins) pode ajudar a descobrir problemas relacionados à segurança no início do ciclo de desenvolvimento. Isso ajuda a reduzir o risco de vulnerabilidades críticas serem enviadas em nosso software.
Algumas ferramentas de segurança conhecidas para dispositivos móveis / desktop estão listadas abaixo, como um exemplo de soluções SAST / DAST.
- Coverity
- FindSecurityBugs (FindBugs Plugin)
- AppScan
- Drozer
- AndroBugs
- Dependency Checker
- SUPER
- QARK
- HP Fortify
- Lint
É muito importante incluir segurança no ciclo de vida de desenvolvimento do Agile. Com o DevSecOps, os desenvolvedores podem entender melhor a criticidade das vulnerabilidades existentes em seus códigos e corrigir essas vulnerabilidades enquanto ainda oferecem produtos / soluções rápidos e mais seguros.
