DevSecOps: A evolução do movimento DevOps

A metodologia DevOps transformou a forma como os software são desenvolvidos, mas sobretudo, mostrou a importância da responsabilidade compartilhada entre os departamentos de operação e desenvolvimento.

Muitas vezes vistas como adversárias, a equipe de operação, responsável por manter os serviços no ar, não apoiava esta transformação pois – em sua visão- entregas mais ágeis tornavam mais complexa a tarefa de manter um ambiente operante e estável.

Com o passar do tempo, no entanto, o movimento DevOps proporcionou entregas mais rápidas e mais estáveis, com menor quantidade de bugs e com maior eficiência no retorno ao negócio. Entregas mais rápidas resultaram numa incapacidade das equipes de segurança tradicionais de proteger esses novos ambientes dinâmicos.

Para não ficar de fora, as equipes de segurança passaram a perceber as enormes vantagens de se integrar à cultura DevOps. Afinal, fazer parte do ciclo de desenvolvimento possibilita a introdução de novas versões do software ainda nas primeiras fases do serviço, duração reduzida de testes e consequentemente maior segurança e entrega mais ágil de valor para o negócio.

DevSecOps – a quebra do mindset tradicional

Com o objetivo de chegar a um nível de segurança cada vez maior, surgiu então o DevSecOps: combinação de approaches tradicionais do DevOps com práticas de segurança mais fortemente construídas desde a concepção até entrega do produto final, sempre de forma automatizada.

A prática desta nova abordagem exige, porém, um novo mindset e mudança cultural a ser encarada pelo setor de TI para integrar-se a todos os setores da empresa. Em um ambiente tradicional, entregas mais rápidas podem prejudicar a capacidade de equipes de segurança em proverem a defesa necessária para as novas aplicações, e falharem em atender o movimento do desenvolvimento ágil, resultando muitas vezes na incapacidade da equipe em proteger os serviços da empresa.

Para aqueles que desejam inserir o DevSecOps em suas empresas é preciso então estimular, aos poucos, uma mudança de atitude nos times de DevOps e segurança, mostrando que a metodologia pode trabalhar como um aliado dentro da empresa.

É claro que como todo novo processo, existe um tempo considerável até que todos trabalhem mais estreitamente. Mas alguns pontos podem ser colocados em prática para ajudar na concretização desta mudança:

– Reduza barreiras físicas e estimule o diálogo entre as equipes de DevOps e Segurança;

– Automatize processos de segurança com a ajuda dos desenvolvedores: uma segurança automatizada integrada ao pipeline de desenvolvimento permite que releases vulneráveis não cheguem à produção;

– Entendimento mútuo: dê o tempo necessário aos desenvolvedores para trabalhar suas habilidades em segurança de aplicativos e ferramental;

– Mostre que o correto funcionamento da aplicação, sua manutenção e segurança é uma responsabilidade compartilhada entre todas equipes.

Como dito, envolver as equipes para um trabalho de responsabilidade compartilhada, não é tarefa fácil e pode levar a atritos. A questão é que o desenvolvimento multidisciplinar, apesar de resistente no início, é vantajoso para todos os lados.

A mentalidade ágil não só permite construir aplicações mais resistentes desde o início, como também otimizar gastos. Um bug descoberto no início do processo de desenvolvimento torna relativamente mais baixo o custo com correções.

Este é o momento de seguir uma tendência que veio para ficar: o DevSecOps deve ser tratado como prioridade e estimulado pelas diretorias das empresas de TI. A mudança de paradigmas é para valer, e é urgente.

Autor:Raphael Bottino – especialista em segurança na Trend Micro Brasil.