Alguns consideram o Firewall como a mais significativa invenção em Cyber Security dos últimos anos. Certamente ele foi, e ainda é, extremamente relevante para o mercado e segue em constante evolução, passando de simples filtros de pacotes para Stateful, depois incluindo complementos como o Web Application Firewalls e os chamados Next Generation FireWalls, capazes de proteger ataques diretos na camada de aplicação.
Apesar da eficiência dos produtos com esses recursos, enfrentamos hoje a necessidade de criar soluções para proteção, por conta do efeito da descentralização gerado pela Transformação Digital e a geração de demandas Mobile, IoT, Public Cloud etc. Com o incremento desta complexidade, empresas precisaram repensar a cibersegurança. O foco, antes voltado à infraestrutura e proteção de perímetro, agora está no software e nas aplicações – na necessidade de um desenvolvimento seguro, com proteção desde sua concepção.
É dessa demanda que surgiu o conceito de DevSecOps, complemento às iniciativas DevOps nas empresas, que é considerado como um dos grandes catalisadores da Transformação Digital, já que acelera a integração e entrega contínua de aplicações (CI/CD) com uso de ferramentas e automação, provendo qualidade, performance, disponibilidade e agora segurança.
O “Sec” do DevSecOps endereça o compliance e a segurança no ciclo de vida das aplicações, detecta vulnerabilidades e falhas de forma antecipada, traz o conceito de Shift-left security à tona e cria uma abordagem de aplicações seguras.
Quando falamos de segurança na esteira de integração e entrega contínua de aplicações, temos disponíveis diversos tipos de Application Security Tests (AST) como o Static (AST), o Dynamic (AST) e o Software Composition Analysis. Cada um deles busca vulnerabilidades em uma determinada fase do processo de desenvolvimento e execução de aplicações.
Implementar uma iniciativa DevSecOps não é tarefa fácil. É necessária a integração de um conjunto de soluções que viabilizam a criação de uma Esteira de Integração e Entrega Contínua de Software (CI/CD), o que evita gargalos que aumentem o tempo de entrega de projetos ou falhas de segurança.
Saber escolher as ferramentas que melhor se adaptam ao conjunto (CI/CD) é outro fator de grande importância para evitar dificuldades de integração e efeitos contrários a necessidade base de redução no Lead Time das aplicações. Aqui, deixo algumas dicas:
ü Procure o menor número de ferramentas possível e tenha certeza de que elas se acoplem facilmente a atual esteira para não acrescentar complexidade na administração interna
ü Dê preferência para plataformas em Cloud que fazem este trabalho…. Se não conhece o Eagle PAM, sugiro dar uma olhada pois, além de testar, também protege a camada de execução em produção.
ü Com conceitos e ferramental de AppSec definido, surge a etapa da Governança. Atenção especial a este ponto pois as funções em modelos ágeis devem mudar significativamente, fugindo do modelo tradicional e passando a ter função de auditoria.
Segurança de aplicações deve ser tratada com prioridade nas empresas. Além de uma aliada fundamental nesse quesito, a iniciativa DevSecOps também fomenta a colaboração entre os times e elimina os silos de trabalho desconectados da realidade de negócios da empresa. O resultado é ter na equipe de profissionais mais engajados, um aumento do tempo real de produtividade e os negócios atendendo às demandas de forma efetiva, satisfazendo os clientes.
Por Otoniel Ribeiro, diretor de serviços da Agility.
Leia nesta edição:
CAPA | TECNOLOGIA
Centros de Dados privados ainda geram bons negócios
TENDÊNCIA
Processadores ganham centralidade com IA
TIC APLICADA
Digitalização do canteiro de obras
Esta você só vai ler na versão digital
TECNOLOGIA
A tecnologia RFID está madura, mas há espaço para crescimento
Baixe o nosso aplicativo