Segurança do aplicativo e as funções DevSecOps

  • Artigo

O objetivo da segurança de aplicativos e do DevSecOps é integrar garantias de segurança em processos de desenvolvimento e aplicativos de linha de negócios (LOB) personalizados.

Modernização

O desenvolvimento de aplicativos está rapidamente sendo remodelado em vários aspectos simultaneamente, incluindo o modelo de equipe de DevOps, cadência de versão rápida de DevOps e a composição técnica de aplicativos por meio de serviços de nuvem e APIs. Veja como a nuvem está alterando as responsabilidades e relações de segurança para entender essas alterações.

A modernização dos modelos de desenvolvimento antiquados apresenta tanto uma oportunidade quanto uma necessidade de modernizar a segurança de aplicativos e processos de desenvolvimento. A fusão de segurança em processos de DevOps geralmente é conhecida como DevSecOps e as alterações das unidades, incluindo:

  • A segurança é integrada, sem uma aprovação externa: o ritmo rápido das mudanças no desenvolvimento de aplicativos faz com que as abordagens de “examinar e relatar” clássico se torne obsoleta. Essas abordagens herdadas não podem acompanhar as versões afetar o desenvolvimento até haver uma parada e criar atrasos de tempo de colocação no mercado, subutilização do desenvolvedor e crescimento da pendência de problemas.
    • Antecipar-se para envolver a segurança mais cedo em processos de desenvolvimento de aplicativos como correção de problemas anteriores é mais barato, rápido e mais eficiente. Se você aguardar um bolo assar, será mais difícil alterar a sua forma.
    • Integração nativa: as práticas de segurança precisam ser integradas diretamente para evitar atritos prejudiciais em fluxos de trabalho de desenvolvimento e processos de CI/CD (integração contínua/implantação contínua). Para obter mais informações sobre a abordagem de GitHub, consulte Protegendo o software, juntos.
    • Segurança de alta qualidade: a segurança precisa fornecer descobertas de alta qualidade e diretrizes que permitam aos desenvolvedores corrigir problemas rapidamente e não desperdiçar o tempo do desenvolvedor com falsos positivos.
    • Cultura convergida: as funções de segurança, desenvolvimento e operações devem contribuir com elementos-chave em uma cultura compartilhada, valores compartilhados e metas compartilhadas e responsabilidades.
  • Segurança ágil: mude a segurança de uma abordagem "deve estar perfeita para uso" a uma abordagem ágil que começa com a segurança viável mínima para aplicativos (e para os processos para desenvolvê-los) que é continuamente aprimorada.
  • Adote recursos de segurança e infraestrutura nativas de nuvem para simplificar os processos de desenvolvimento ao integrar a segurança.
  • Gerenciamento de riscos da cadeia de fornecedores: adote uma abordagem de confiança zero para o software de código aberto (OSS) e componentes de terceiros que validam sua integridade e garantem que as correções e atualizações de bugs sejam aplicadas a esses componentes.
  • Aprendizado contínuo: o ritmo de lançamento rápido dos serviços de desenvolvedor, às vezes chamado de serviços de PaaS (plataforma como serviço), e a alteração da composição de aplicativos, significa que os integrantes da equipe de segurança e desenvolvimento estarão constantemente aprendendo novas tecnologias.
  • Abordagem programática para segurança de aplicativos para garantir a melhoria contínua da abordagem Agile.

Para obter contexto adicional, consulte Ciclo de vida de desenvolvimento seguro da Microsoft.

Composição de equipe e relações importantes

A segurança do aplicativo e as funções DevSecOps são ideais para os desenvolvedores e as equipes de operações (com o apoio de especialistas no assunto da segurança).

Normalmente, essa função interage com outras funções e especialistas, incluindo:

  • Arquitetura e operações de segurança
  • Segurança da infraestrutura
  • Comunicações (treinamento e ferramentas)
  • Segurança de pessoas
  • Identidade e chaves
  • Equipes de conformidade/gerenciamento de riscos
  • Principais líderes de negócios ou os respectivos representantes

Próximas etapas

Examine a função de segurança de dados.