Cloud

Uma introdução ao DevSecOps

| by Guilherme Teles

No mundo de hoje, como as mudanças estão ocorrendo, todos gostariam de práticas ágeis e modelos de entrega. E com a introdução do DevOps, a indústria está alcançando a necessidade de ambientes seguros que ajudem os desenvolvedores a criar soluções automatizadas de teste / avaliação de segurança.

Nunca podemos esquecer a segurança e precisamos incluí-la como parte do ciclo de desenvolvimento do Agile para ajudar os desenvolvedores e evitar o envio das soluções com vulnerabilidades críticas. Para estender e adicionar suporte a testes / avaliações de segurança, o DevSecOps (Dev + Sec + Ops) ajuda estendendo a estrutura de DevOps existente, adicionando ferramentas de segurança ao processo do IC. Isso ajuda os desenvolvedores a descobrir problemas específicos de segurança no código, executando os vários testes de segurança em um ambiente automatizado.

Desafios (sem DevSecOps)

  • Com o ritmo acelerado de desenvolvimento no mundo Ágil, há uma falta de foco na segurança durante o processo de desenvolvimento.
  • A qualidade da solução é frequentemente comprometida do ponto de vista da segurança, ao mesmo tempo em que se concentra nos recursos oferecidos durante o ciclo de vida de desenvolvimento do Agile.
  • Além disso, custa a reputação da organização quando vulnerabilidades críticas são encontradas na (s) solução (ões) enviada (s).
  • Os dados confidenciais do cliente são comprometidos devido à falta de foco nos testes de segurança.
  • Um grande esforço manual para realizar testes de segurança pode levar a um atraso na descoberta de vulnerabilidades críticas e, além disso, pode resultar no atraso das entregas ou no envio de vulnerabilidades desconhecidas.

Solução
Para minimizar o risco do ponto de vista da segurança, implementar uma solução de segurança automatizada integrada ao nosso sistema de CI (por exemplo, Jenkins) pode ajudar a descobrir problemas relacionados à segurança no início do ciclo de desenvolvimento. Isso ajuda a reduzir o risco de vulnerabilidades críticas serem enviadas em nosso software.

Algumas ferramentas de segurança conhecidas para dispositivos móveis / desktop estão listadas abaixo, como um exemplo de soluções SAST / DAST.

  • Coverity
  • FindSecurityBugs (FindBugs Plugin)
  • AppScan
  • Drozer
  • AndroBugs
  • Dependency Checker
  • SUPER
  • QARK
  • HP Fortify
  • Lint

É muito importante incluir segurança no ciclo de vida de desenvolvimento do Agile. Com o DevSecOps, os desenvolvedores podem entender melhor a criticidade das vulnerabilidades existentes em seus códigos e corrigir essas vulnerabilidades enquanto ainda oferecem produtos / soluções rápidos e mais seguros.