Três práticas recomendadas de DevSecOps para implementar imediatamente

Não importa onde você esteja na sua jornada de DevOps, é hora de realmente entrar de cabeça no DevSecOps. Por quê? Porque as superfícies em risco nunca foram tão grandes. Atualmente, as aplicações são o maior alvo de segurança, de acordo com a vice-presidente de pesquisa da Forrester, Amy DeMartine, que enfatizou que o problema está piorando e não melhorando.

Para complicar ainda mais, pesquisas da Gartner mostram que os gastos com TI em segurança estão caindo e representaram apenas 5,7% do orçamento total em 2019.
E como se tudo isso não bastasse, há uma confusão sempre presente nas equipes de DevOps sobre exatamente quais grupos são responsáveis pela segurança. Em nossa Pesquisa Global de DevSecOps de 2020, 33% dos profissionais de segurança disseram que eram os únicos responsáveis pela segurança, mas quase o mesmo número, 29%, disse que todos eram.

É hora de repensar como as equipes abordam o DevSecOps, começando do zero. Aqui estão três estratégias que as equipes podem implementar imediatamente.

A colaboração é a chave para o sucesso de todos os projetos. Reúna os líderes do seu projeto e os representantes de segurança. Organize uma reunião (com um material de leitura ou planejamento prévio) para elaborar um conjunto de medidas de segurança que precisam ser cumpridas em todo o código escrito para este projeto e planejar os testes automatizados que os desenvolvedores precisarão executar nesse código. Tomar essas decisões em conjunto promoverá a confiança no processo e incentivará uma mentalidade de segurança por design.

Rob Cuddy, da IBM aconselha sua equipe conjunta a adotar três pontos de comunicação importantes para levar seu DevSecOps ao próximo nível:
Comunique apenas problemas sérios e filtre ruídos irrelevantes usando IA e aprendizado de máquina nas suas verificações de segurança.
Fale sobre o elefante na sala: código aberto. O código-fonte aberto e de terceiros é onipresente no desenvolvimento de software, por isso é fundamental abordá-lo diretamente para reduzir a probabilidade de ataques evitáveis.

Chegue à raiz dos problemas e lide com eles mais rapidamente: encontre e corrija falsos negativos antes que sejam explorados.

Siga estas etapas para incentivar uma comunicação direta, honesta e diplomática entre as equipes, isso ajudará você a construir e manter um nível de confiança e credibilidade essencial para um DevSecOps eficiente e eficaz.

Dados os recursos limitados disponíveis para a segurança de aplicações e seu importante papel no sucesso dos negócios, faz sentido executar testes a cada commit de código. O ideal é que esses testes sejam escritos uma única vez para atender aos padrões do projeto ou da organização e, depois, executados automaticamente a cada alteração de código. Concentre os testes em áreas da aplicação que oferecem maior cobertura, mas exigem menos manutenção. As equipes devem analisar o código de todos os níveis estruturais para procurar problemas que afetem o desempenho operacional de um aplicativo. O código deve ser seguro, robusto, eficiente e fácil de manter.

Medidas preventivas como SAST e dependency scanning economizarão tempo em fases posteriores, reduzindo o número de defeitos no código antes que seja mesclado e ajudando os desenvolvedores a entender como as alterações afetarão outras áreas da aplicação. Estabelecer critérios de teste primeiro também ajudará os desenvolvedores a melhorar a qualidade geral do código, disponibilizando padrões que podem ser consultados e alcançados ao escrever o código.

Aplicar os resultados dos testes como reforço negativo não é uma prática construtiva. Além da remediação, os resultados podem ser aproveitados de duas maneiras:
Para o desenvolvedor, os resultados devem servir como aprendizado para produzir código de maior qualidade.

E o grupo deve verificar os resultados dos testes em busca de padrões nas práticas de programação que podem ser aprimorados e usados para criar normas que ajudarão a melhorar a qualidade do código em toda a equipe ou organização.

Como um programa de campeões de segurança pode melhorar o DevSecOps

Como o GitLab possibilita o DevSecOps

Entenda o cenário de DevSecOps