Tópicos técnicos

O que é DevSecOps?

Ilustração de itens de TI com foco em um ponto de interrogação

Visão geral

O DevSecOps permite a integração de testes de segurança no início da segurança do aplicativo, no início do ciclo de vida de desenvolvimento do software, em vez de no final, quando as descobertas de vulnerabilidades que exigem mitigação são mais difíceis e caras de implementar.

O DevSecOps é uma extensão do DevOps e, às vezes, é chamado de DevOps seguro. Embora o DevOps possa significar coisas diferentes para pessoas ou organizações diferentes, ele envolve mudanças culturais e técnicas. O ideal é que a segurança seja um requisito implícito das DevOps bem-sucedidas.

O DevSecOps exige o planejamento da segurança de aplicativos e infraestrutura desde o início. As ferramentas certas podem ajudar a atingir a meta de segurança continuamente integrada, incluindo decisões como a seleção de um ambiente de desenvolvimento integrado (IDE) com recursos de segurança. As ferramentas e o processo também devem ser capazes de automatizar algumas portas de segurança para não retardar o fluxo de trabalho do DevOps.

DevSecOps

Benefícios do DevSecOps

Os desenvolvedores nem sempre codificam com a segurança em mente. Com uma mentalidade de DevSecOps, os desenvolvedores são capacitados com automação aprimorada em todo o pipeline de entrega de software e aplicativos para eliminar erros de codificação e, por fim, reduzir as violações.

As equipes que implementarem ferramentas e processos de DevSecOps para integrar a segurança à sua estrutura de DevOps poderão lançar software seguro mais rapidamente. Os desenvolvedores podem testar a segurança do código e detectar falhas de segurança à medida que o código é escrito. As verificações automatizadas podem ser iniciadas como parte de check-ins de código, compilações, lançamentos ou outros componentes do pipeline de CI/CD. Ao integrar-se às ferramentas que os desenvolvedores já estão usando, as equipes de desenvolvimento podem melhorar mais facilmente o aspecto de segurança do desenvolvimento de aplicativos Web.

Quais são os principais componentes do DevSecOps?

As abordagens de DevSecOps podem incluir esses componentes importantes:

Inventário de aplicativos/API

Automatize a descoberta, a criação de perfis e o monitoramento contínuo do código em todo o portfólio. Isso pode incluir código de produção em data centers, ambientes virtuais, nuvens privadas, nuvens públicas, contêineres, sem servidor e muito mais. Use uma combinação de ferramentas de descoberta automatizada e de autoinventário. As ferramentas de descoberta ajudam a identificar quais aplicativos e APIs você tem. As ferramentas de autorrelato permitem que seus aplicativos se inventariem e relatem seus metadados para um banco de dados central.

Segurança de código personalizado

Monitorar continuamente o software em busca de vulnerabilidades durante o desenvolvimento, os testes e as operações. Forneça códigos com frequência para que as vulnerabilidades possam ser identificadas rapidamente a cada atualização de código.
O teste estático de segurança de aplicativos (SAST) examina os arquivos de origem do aplicativo, identifica com precisão a causa raiz e ajuda a corrigir as falhas de segurança subjacentes.
O Dynamic Application Security Testing (DAST) simula ataques controlados a um aplicativo ou serviço da Web em execução para identificar vulnerabilidades exploráveis em um ambiente em execução.
O IAST (Interactive Application Security Testing, teste interativo de segurança de aplicativos) fornece uma varredura profunda ao instrumentar o aplicativo usando agentes e sensores para analisar continuamente o aplicativo, sua infraestrutura, dependências, fluxo de dados, bem como todo o código.

Segurança de código aberto

O software de código aberto (OSS) muitas vezes inclui vulnerabilidades de segurança, portanto, uma abordagem de segurança completa inclui uma solução que rastreia as bibliotecas OSS e relata vulnerabilidades e violações de licença.
A Análise de Composição de Software (SCA) automatiza a visibilidade do software de código aberto (OSS) para fins de gerenciamento de riscos, segurança e conformidade de licenças.

Prevenção em tempo de execução

Proteja os aplicativos em produção - novas vulnerabilidades podem ser descobertas, ou os aplicativos legados podem não estar em desenvolvimento.
O registro pode informá-lo sobre quais tipos de vetores de ataque e sistemas estão sendo visados. A inteligência sobre ameaças informa os processos de modelagem de ameaças e arquitetura de segurança.

Monitoramento da conformidade

Permita a preparação para auditorias e um estado constante de conformidade com o GDPR, CCPA, PCI, etc.

Fatores culturais

Identificar campeões de segurança, estabelecer treinamento de segurança para desenvolvedores, etc.

Fazendo o DevSecOps trabalhar para você

Etapa 1: incorporar a segurança aos requisitos do software
Etapa 2: testar antecipadamente, com frequência e rapidamente
Etapa 3: aproveitar as integrações para tornar a segurança do aplicativo uma parte natural do ciclo de vida
Etapa 4: automatizar a segurança como parte dos processos de desenvolvimento e teste
Etapa 5: monitorar e proteger após o lançamento

Fortify ajuda a incorporar a segurança ao DevOps

Plataforma de segurança de aplicativos holística, inclusiva e extensível para orquestrar e orientar sua jornada de AppSec.
Incorpore a segurança ao desenvolvimento e à implementação de aplicativos com o ecossistema de integração Fortify .
O DevSecOps com Fortify permite a automação de testes aprimorada em todo o pipeline de CI/CD para encontrar erros de codificação.
A análise automatizada de código estático ajuda os desenvolvedores a eliminar vulnerabilidades e criar software seguro com o Static Code Analyzer.
Os testes dinâmicos de segurança de aplicativos do WebInspect analisam os aplicativos em seu estado de execução e simulam ataques contra um aplicativo para encontrar vulnerabilidades.
Assuma o controle total da conformidade de segurança de código aberto e da integridade da comunidade com o Debricked e o Fortify.
Obtenha clareza em toda a sua empresa agregando, analisando e relatando os resultados da avaliação em um único painel de vidro - independentemente da origem - com o Fortify Insight.

Soluções AppSec líderes do setor

Plataforma de segurança de aplicativos holística, inclusiva e extensível para orquestrar e orientar sua jornada de AppSec com a plataforma Fortify .
Segurança como um serviço com Fortify on Demand por OpenText™.
O sucesso de um produto é melhor medido pelos clientes. Gartner Peer Insights, G2s, Fortify histórias de sucesso de clientes.
Líder comprovado no Quadrante Mágico do Gartner para testes de segurança de aplicativos.

Recursos

O que é segurança cibernética?

Em destaqueEm destaque

Analytics CloudAnalytics Cloud

Banco de dados analíticoBanco de dados analítico

Análise de dados não estruturadosAnálise de dados não estruturados

Inteligência de negócios e relatóriosInteligência de negócios e relatórios

Data DiscoveryData Discovery

eDiscovery and InvestigationseDiscovery and Investigations

Legal Content and Knowledge ManagementLegal Content and Knowledge Management

Pesquisa empresarialPesquisa empresarial

Aviator Search

Business Network CloudBusiness Network Cloud

Integração da cadeia de suprimentosIntegração da cadeia de suprimentos

Serviços de integração B2BServiços de integração B2B

Colaboração do ecossistemaColaboração do ecossistema

Business Network Aviator

Content CloudContent Cloud

Gerenciamento de documentosGerenciamento de documentos

Gerenciamento de conteúdo de IAGerenciamento de conteúdo de IA

Integrações de negóciosIntegrações de negócios

Captura e processamento inteligente de documentosCaptura e processamento inteligente de documentos

Information ArchivingInformation Archiving

Automação de processosAutomação de processos

Governança da informaçãoGovernança da informação

Content Aviator

Cybersecurity CloudCybersecurity Cloud

Segurança de aplicativosSegurança de aplicativos

Identity and Access ManagementIdentity and Access Management

Privacidade e proteção de dadosPrivacidade e proteção de dados

Investigações e perícias digitaisInvestigações e perícias digitais

Inteligência sobre ameaçasInteligência sobre ameaças

Detecção e resposta a ameaçasDetecção e resposta a ameaças

Cybersecurity Aviator

Developer CloudDeveloper Cloud

Information Management ServicesInformation Management Services

Developer Cloud documentação técnicaDeveloper Cloud documentação técnica

Aviator Thrust

DevOps CloudDevOps Cloud

Plataforma DevOpsPlataforma DevOps

PPM e gerenciamento estratégico PortfolioPPM e gerenciamento estratégico Portfolio

Gerenciamento da qualidadeGerenciamento da qualidade

Teste funcionalTeste funcional

Engenharia de desempenhoEngenharia de desempenho

DevOps Aviator

Experience CloudExperience Cloud

Experiências de marca e na WebExperiências de marca e na Web

MensagensMensagens

Jornada do cliente e dadosJornada do cliente e dados

Media ManagementMedia Management

Análise do centro de contatoAnálise do centro de contato

Experience Aviator

IT Operations CloudIT Operations Cloud

Gerenciamento de serviçosGerenciamento de serviços

FinOpsFinOps

AIOps e observabilidadeAIOps e observabilidade

AutomaçãoAutomação

Gerenciamento de redeGerenciamento de rede

IT Operations Aviator

PortfolioPortfolio

Proteção de dados e backup de endpointsProteção de dados e backup de endpoints

Gerenciamento de endpoints e segurança móvelGerenciamento de endpoints e segurança móvel

Trabalho híbrido, e-mail e colaboração em equipeTrabalho híbrido, e-mail e colaboração em equipe

Arquivamento, eDiscovery e segurança de dadosArquivamento, eDiscovery e segurança de dados

Informações reimaginadasInformações reimaginadas

Inteligência ArtificialInteligência Artificial

SetorSetor

Aplicativos empresariaisAplicativos empresariais

Sua jornada para o sucessoSua jornada para o sucesso

Suporte ao clienteSuporte ao cliente

Serviços de sucesso do clienteServiços de sucesso do cliente

Serviços de consultoria e estratégiaServiços de consultoria e estratégia

Serviços de consultoriaServiços de consultoria

Serviços de aprendizadoServiços de aprendizado

Serviços gerenciadosServiços gerenciados

Encontre um parceiro OpenTextEncontre um parceiro OpenText

Encontre uma solução de parceiroEncontre uma solução de parceiro

Crescer como parceiroCrescer como parceiro

Torne-se um parceiro

Biblioteca de ativosBiblioteca de ativos

BlogsBlogs

EventosEventos

Em destaque

Analytics Cloud

Banco de dados analítico

Análise de dados não estruturados

Inteligência de negócios e relatórios

Data Discovery

eDiscovery and Investigations

Legal Content and Knowledge Management

Pesquisa empresarial

Business Network Cloud

Integração da cadeia de suprimentos

Serviços de integração B2B

Colaboração do ecossistema

Content Cloud

Gerenciamento de documentos

Gerenciamento de conteúdo de IA

Integrações de negócios

Captura e processamento inteligente de documentos

Information Archiving

Automação de processos

Governança da informação

Cybersecurity Cloud

Segurança de aplicativos

Identity and Access Management

Privacidade e proteção de dados

Investigações e perícias digitais

Inteligência sobre ameaças

Detecção e resposta a ameaças

Developer Cloud

Information Management Services

Developer Cloud documentação técnica

DevOps Cloud

Plataforma DevOps

PPM e gerenciamento estratégico Portfolio

Gerenciamento da qualidade

Teste funcional

Engenharia de desempenho

Experience Cloud

Experiências de marca e na Web

Mensagens

Jornada do cliente e dados

Media Management

Análise do centro de contato

IT Operations Cloud

Gerenciamento de serviços

FinOps

AIOps e observabilidade

Automação

Gerenciamento de rede

Portfolio

Proteção de dados e backup de endpoints

Gerenciamento de endpoints e segurança móvel

Trabalho híbrido, e-mail e colaboração em equipe

Arquivamento, eDiscovery e segurança de dados

Informações reimaginadas

Inteligência Artificial

Setor

Aplicativos empresariais

Sua jornada para o sucesso

Suporte ao cliente

Serviços de sucesso do cliente

Serviços de consultoria e estratégia

Serviços de consultoria

Serviços de aprendizado

Serviços gerenciados

Encontre um parceiro OpenText

Encontre uma solução de parceiro

Crescer como parceiro

Biblioteca de ativos

Blogs

Eventos

Comunidades

Histórias de clientes

OpenText Navigator