/ DevOps

O que você precisa saber sobre o DevSecOps

As organizações em 2018 não têm mais escolha, elas devem proteger seus ativos e releases de software enquanto continuam tentando alcançar os alto níveis de qualidade e velocidade de entrega que seus clientes exigem.

Os processos de segurança tradicionais são frequentemente vistos como obstáculos para a produção mais rápida de software de alta qualidade. A segurança da informação, no entanto, é de vital importância, especialmente em setores regulamentados, e ainda mais em uma época em que o cenário de ameaças está aumentando todos os dias.

Entre o DevSecOps, a prática de mudar a segurança deixada no pipeline de entrega de software, minimizando vulnerabilidades e aproximando a segurança dos objetivos de TI e de negócios.

Você é novo na abordagem DevSecOps?
Aqui estão alguns dos termos, ferramentas e práticas essenciais que você precisa conhecer.

DevSecOps – Uma abordagem para aumentar a segurança de software, na qual as práticas de segurança que tradicionalmente ocorrem somente no final do ciclo de vida de entrega do software estão integradas em todas as partes do pipeline, desde o commit do código até o deployment monitoring.

Testes de segurança do aplicativo (application security testing): Medidas tomadas ao longo do pipeline para impedir ameaças a um aplicativo sem interromper o código, a criação, o teste ou a implantação do código. Essas medidas incluem reviews de código estático, análise de código dinâmico, verificação automatizada, correção e análise de vulnerabilidade.

Cadeia de custódia (chain of custody): A hierarquia de funções e permissões no ciclo de vida do software que garante controle e visibilidade de todos os componentes de software do pipeline de entrega.

Ferramentas de análise de código (code analysis tools): Ferramentas para executar a codificação de verificação automatizada para verificar se o código está em conformidade com as regras predefinidas pela organização e pelas práticas recomendadas do setor. Essas ferramentas auxiliam na estrutura do código de qualidade e na conformidade com os padrões organizacionais.

Teste de segurança de aplicativos dinâmicos (dynamic application security testing): Ferramentas para detectar condições indicativas de uma vulnerabilidade de segurança em um aplicativo em seu estado de execução.

Gerenciamento de identidade e acesso (Identity and access management): Ferramentas para controlar identidades individuais – sua autenticação, autorização, funções e privilégios – dentro ou através dos limites do sistema e da empresa.

Gerenciamento de logs (log management): O registro automatizado de todos os eventos que ocorrem dentro do ciclo de vida de entrega de software e no ambiente de produção. Os logs agrupam e processam possíveis eventos de segurança para identificar, alertar e encaminhar os que precisam ser revisados.

Segurança como código (security as code) – Um princípio de DevOps e que as práticas de segurança são codificadas e automatizadas e aplicadas como parte do pipeline de entrega. Essa abordagem permite que as práticas de segurança, como políticas e testes, sejam armazenadas em repositórios de código e aplicadas em todo o pipeline.

Gerenciamento de configuração de software (SCM – Software configuration management): Ferramentas para rastrear e controlar mudanças no ciclo de vida do software, incluindo identificação de configuração, gerenciamento de compilação, identificação de itens e linhas de base e relatórios de alterações para correção. As ferramentas SCM são extremamente úteis para identificar alterações não autorizadas que podem levar a ações não autorizadas.

Teste de segurança de aplicativo estático (SAST – Static application security testing) – Um conjunto de tecnologias que analisa o código-fonte e binários para codificação que é repetível para garantir os padrões de segurança.

Modelagem de ameaças (threat modeling): Uma prática de identificação, comunicação e entendimento de ameaças e mitigações dentro do contexto de proteção de algo de valor. Como parte de desenvolvimento de software, um modelo de ameaça ilustra os componentes que fazem um aplicativo funcionar, identifica os riscos potenciais e determina os cursos de ação. A modelagem de ameaças é geralmente descrita como “Segurança por design”

Segurança da camada de transporte (transport layer security): Um protocolo que fornece privacidade e integridade de dados entre dois aplicativos de comunicação.

Teste de segurança de unidade (Unit security testing): Um protocolo que fornece privacidade e integridade de dados entre dois aplicativos de comunicação.

Teste de segurança de unidade (Unit security testing): Varreduras de vulnerabilidade de segurança integradas nas fases de desenvolvimento de software (SDLC). Boas práticas incorporam essas varreduras no processo SDLC.

Firewalls de aplicativos da Web (Web application firewalls)– Um firewall para aplicativos HTTP.

Gostou do conteúdo? Compartilhe com seus amigos que se interessam pelo assunto e inscreva-se aqui para receber os nossos conteúdos no seu e-mail.

banner-transformacao-devops

Fonte: dzone.com