DevOps é uma mentalidade, bem como uma tática de negócios. É uma mudança cultural que mescla operações com desenvolvimento e emprega uma cadeia de ferramentas vinculada para criar mudanças. Por sua vez, o DevSecOps procura mesclar a segurança ao DevOps. Isso pode ser útil para uma empresa que busca crescimento rápido e seguro. Transformar seu DevOps em DevSecOps pode ser um desafio. No entanto, existem maneiras de tornar isso eficiente, suave e principalmente indolor.
A mudança de DevOps para DevSecOps
Tenha em mente que a segurança, assim como o DevOps, está sempre evoluindo. Deve ser tratado como uma necessidade geral no desenvolvimento de aplicativos. Aqui estão algumas etapas importantes que vimos os clientes usarem para incorporar bem a segurança em suas práticas de DevOps.
Use a abordagem certa
Embora a maioria das entidades hoje use DevOps de alguma forma, adicionar segurança ao mix continua sendo um desafio. Transformar DevOps em DevSecOps é um processo contínuo. À medida que as práticas de DevSecOps amadurecem, as ferramentas relacionadas, os processos de governança, a conscientização do desenvolvedor, o conhecimento e o treinamento precisam ser atualizados com frequência. Isso requer uma abordagem programática para garantir que as pessoas continuem aprendendo durante todo o processo.
Desenvolva uma estrutura sob medida para DevSecOps
Uma estrutura de segurança adaptada ao DevSecOps é fundamental para ter uma governança eficaz. A estrutura deve definir as tarefa se ações de segurança executadas no pipeline de integração/desenvolvimento contínuo (CI/CD). Por sua vez, cada uma dessas tarefas deve ter um indicador chave de desempenho (KPI) ou métrica definida, bem como um limite de risco que determina a progressão do código do aplicativo no pipeline.
Os KPIs e o tipo de tarefas podem variar dependendo da classificação da análise de impacto nos negócios do aplicativo (ou microsserviço). As equipes de segurança podem optar por usar uma linha de base mínima aplicada em todo o código e um padrão mais rigoroso em cima disso para aplicativos críticos. Isso fornece aos desenvolvedores transparência em relação aos requisitos de governança e os ajuda a planejar e entregar sem problemas.
Mudança de Cultura
Quando as soluções DevSecOps são executadas corretamente, os desenvolvedores podem executar todas as tarefas e ações necessárias. Mudar a cultura significa não esquecer o elemento humano.
Os desenvolvedores não serão apenas responsáveis por executar as tarefas de segurança (automáticas e manuais), mas também resolver quaisquer problemas. Eles precisarão de um conhecimento básico de segurança e das habilidades para poder desenvolvê-lo e implementá-lo. As habilidades e o conhecimento dos desenvolvedores variam em uma equipe grande.
Mais importante, você deve incentivar uma mudança de mentalidade que abrace a segurança completamente. Isso é fundamental para reduzir a fadiga de alertas e limitar a interrupção do pipeline de CI/CD. Uma das maneiras de conseguir isso, juntamente com o treinamento, é encontrar e promover ‘campeões de segurança’ dentro da equipe de desenvolvedores. Esses campeões se tornarão as pessoas de referência para todas as coisas de segurança. Eles também devem incentivar uma mudança de mentalidade entre os desenvolvedores ao longo de um período de tempo.
Estabelecer um Centro de Excelência DevSecOps
Para oferecer suporte a uma transição tranquila para o DevSecOps, crie um centro de excelência. Esta é uma equipe central e multifuncional que pesquisa, desenvolve as melhores práticas e automatiza tarefas manuais.
Os clientes que já configuraram um centro de excelência como parte de uma estrutura de DevOps devem estendê-lo para incluir segurança. Um dos principais objetivos dessa equipe é desenvolver modelos para componentes e tarefas de segurança para garantir a repetibilidade. Eles também ajudarão a ajustar as configurações de ferramentas para reduzir falsos positivos.
Com uma equipe central, é mais provável que seu processo para reduzir riscos ou executar uma tarefa seja consistente em toda a empresa. Um centro de excelência em DevSecOps também acelerará a adoção da segurança pela empresa em geral.
Automatize e integre a governança de segurança
Você pode conhecer a prática de ‘shift left’ no DevSecOps. Ele ajuda a melhorar a qualidade e a segurança movendo os testes mais cedo no ciclo de vida de desenvolvimento de software. À medida que mais e mais práticas de DevSecOps são automatizadas, fica mais difícil capturar as métricas necessárias (de acordo com a estrutura definida) para demonstrar que os requisitos de segurança e conformidade são atendidos.
Portanto, uma estrutura DevSecOps deve incluir uma maneira de rastrear a governança durante todo o ciclo de vida do processo de entrega de software. A automação da governança requer uma calibração cuidadosa das ferramentas e da plataforma subjacentes. Eles precisam estar alinhados com as métricas e limites definidos pelo portão de segurança. As empresas podem se beneficiar disso porque permite uma entrega de software mais rápida e maior confiança entre os funcionários.
Por onde começar com o DevSecOps
Mudar de DevOps para DevSecOps parece uma boa opção? Em caso afirmativo, comece com uma revisão de sua segurança em relação às práticas de DevOps. O objetivo desta revisão deve ser obter conhecimento das funções atuais, ferramentas e áreas para melhoria em seus processos de governança.
A revisão deve medir o estado desejado do DevSecOps. Para fazer isso, primeiro formule um programa com um conjunto de tarefas destinadas a entregar funções específicas. Enquanto isso, considere cuidadosamente como você pode defender a mudança cultural a longo prazo. Por fim, defina métricas e KPIs para monitorar o progresso e aplicar as lições aprendidas.
Sabemos que transformar DevOps em DevSecOps é um processo contínuo. À medida que as práticas de DevSecOps amadurecem, as ferramentas relacionadas, os processos de governança, a conscientização do desenvolvedor, o conhecimento e o treinamento precisam ser atualizados com frequência. Uma estrutura DevSecOps deve incluir uma maneira de rastrear a governança durante todo o ciclo de vida do processo de entrega de software.
Fonte: https://securityintelligence.com/posts/how-to-transform-from-devops-to-devsecops/
