Tópicos técnicos

O que é DevSecOps?

Ilustração de itens de TI com foco em um ponto de interrogação

Visão geral

O DevSecOps permite a integração de testes de segurança no início da segurança do aplicativo, no início do ciclo de vida de desenvolvimento do software, em vez de no final, quando as descobertas de vulnerabilidades que exigem mitigação são mais difíceis e caras de implementar.

O DevSecOps é uma extensão do DevOps e às vezes é chamado de DevOps seguro. Embora o DevOps possa significar coisas diferentes para pessoas ou organizações diferentes, ele envolve mudanças culturais e técnicas. O ideal é que a segurança seja um requisito implícito das DevOps bem-sucedidas.

O DevSecOps exige o planejamento da segurança de aplicativos e infraestrutura desde o início. As ferramentas certas podem ajudar a atingir a meta de segurança continuamente integrada, incluindo decisões como a seleção de um ambiente de desenvolvimento integrado (IDE) com recursos de segurança. As ferramentas e o processo também devem ser capazes de automatizar algumas portas de segurança para não retardar o fluxo de trabalho do DevOps. Quanto à mitigação de riscos contra ações maliciosas de usuários em códigos-fonte, a análise comportamental pode ser aproveitada para monitorar e detectar anomalias e atividades que possam ser de natureza nefasta.

DevSecOps

Quais são os benefícios do DevSecOps?

Os desenvolvedores nem sempre codificam com a segurança em mente. Com uma mentalidade de DevSecOps, os desenvolvedores são capacitados com automação aprimorada em todo o pipeline de fornecimento de software e aplicativos para eliminar erros de codificação e, por fim, reduzir as violações. Além disso, os riscos internos têm aumentado devido a ataques não intencionais (por exemplo, engenharia social) ou intencionais. Com a análise comportamental, as organizações podem detectar e lidar com essas ameaças com maior eficácia e eficiência.

As equipes que implementarem ferramentas e processos de DevSecOps para integrar a segurança à sua estrutura de DevOps poderão lançar softwares seguros com mais rapidez. Os desenvolvedores podem testar a segurança do código e detectar falhas de segurança à medida que o código é escrito, aumentando sua conscientização e evitando que códigos maliciosos ou vulneráveis cheguem aos ambientes de produção. As verificações automatizadas podem ser iniciadas como parte de check-ins de código, compilações, lançamentos ou outros componentes do pipeline de CI/CD. Ao integrar-se às ferramentas que os desenvolvedores já estão usando, as equipes de desenvolvimento podem melhorar mais facilmente o aspecto de segurança do desenvolvimento de aplicativos da Web.

Quais são os principais componentes do DevSecOps?

As abordagens de DevSecOps podem incluir esses componentes importantes:

Inventário de aplicativos/API

Automatize a descoberta, a criação de perfis e o monitoramento contínuo do código em todo o portfólio. Isso pode incluir código de produção em data centers, ambientes virtuais, nuvens privadas, nuvens públicas, contêineres, sem servidor e muito mais. Use uma combinação de ferramentas de descoberta automatizada e de autoinventário. As ferramentas de descoberta ajudam a identificar quais aplicativos e APIs você tem. As ferramentas de autorrelato permitem que seus aplicativos se inventariem e relatem seus metadados para um banco de dados central.

Segurança de código personalizado

Monitorar continuamente o software em busca de vulnerabilidades durante o desenvolvimento, os testes e as operações. Forneça códigos com frequência para que as vulnerabilidades possam ser identificadas rapidamente a cada atualização de código.
Static Application Security Testing (SAST) examina os arquivos de origem do aplicativo, identifica com precisão a causa raiz e ajuda a corrigir as falhas de segurança subjacentes.
Dynamic Application Security Testing (DAST) simula ataques controlados a um aplicativo ou serviço da Web em execução para identificar vulnerabilidades exploráveis em um ambiente em execução.
O IAST (Interactive Application Security Testing, teste interativo de segurança de aplicativos) fornece uma varredura profunda ao instrumentar o aplicativo usando agentes e sensores para analisar continuamente o aplicativo, sua infraestrutura, dependências, fluxo de dados, bem como todo o código.

Segurança de código aberto

O software de código aberto (OSS) geralmente inclui vulnerabilidades de segurança, portanto, uma abordagem de segurança completa inclui uma solução que rastreia as bibliotecas OSS e informa sobre vulnerabilidades e violações de licença.
A Análise de Composição de Software (SCA) automatiza a visibilidade do software de código aberto (OSS) para fins de gerenciamento de riscos, segurança e conformidade de licenças.

Prevenção em tempo de execução

Proteja os aplicativos em produção - novas vulnerabilidades podem ser descobertas, ou os aplicativos legados podem não estar em desenvolvimento.
O gerenciamento dos logs de segurança pode informá-lo sobre os tipos de vetores e sistemas de ataque que estão sendo visados. Threat inteligência informa os processos de modelagem de ameaças e arquitetura de segurança.

Monitoramento da conformidade

Permita a preparação para auditorias e um estado constante de conformidade com o GDPR, CCPA, PCI, etc.

Fatores culturais

Identificar campeões de segurança, estabelecer treinamento de segurança para desenvolvedores, etc.

Mitigação de ameaças internas

Proteja o código-fonte e os dados confidenciais monitorando continuamente as atividades internas para descobrir comportamentos mal-intencionados antes que o dano seja causado.

Segurança cibernética de IA

Automatize a segurança cibernética com IA para detectar ameaças antecipadamente e acelerar a inovação. Tome decisões mais inteligentes com insights baseados em IA.

Integração de operações de TI e DevSecOps

A integração das operações de TI à estrutura DevSecOps representa uma evolução significativa nas práticas de desenvolvimento e implantação de software. Essa sinergia entre as equipes de desenvolvimento, segurança e operações é fundamental para garantir um ciclo de vida de desenvolvimento de software contínuo, seguro e eficiente. Ao incorporar as operações de TI ao modelo DevSecOps, as organizações podem obter maior agilidade, segurança aprimorada e melhor desempenho geral em todo o ciclo de vida do software.

O impacto das operações de TI no DevSecOps é multifacetado e atinge várias áreas importantes do processo de desenvolvimento e implantação:

1. Implantação: Entrega automatizada de infraestrutura

No âmbito da implementação, as operações de TI desempenham um papel fundamental na automação do fornecimento da infraestrutura necessária para implementar aplicativos. Essa automação não se trata apenas de velocidade; trata-se de garantir que cada implementação siga rigorosamente as políticas e as práticas recomendadas da empresa. Ao automatizar o fornecimento de infraestrutura, as organizações podem obter processos de implementação consistentes e repetíveis, reduzindo significativamente o risco de erro humano e, ao mesmo tempo, aumentando a segurança.

Essa abordagem automatizada de implementação traz vários benefícios. Primeiro, reduz drasticamente o tempo de colocação no mercado de novos aplicativos e atualizações, permitindo que as empresas respondam mais rapidamente às demandas do mercado e às necessidades dos clientes. Em segundo lugar, ela garante que todas as implementações, independentemente da escala ou da complexidade, sigam os padrões organizacionais e os requisitos de conformidade. Essa consistência é fundamental para manter um ambiente de TI seguro e em conformidade, especialmente em setores com rigorosa supervisão regulamentar.

Além disso, o fornecimento automatizado de infraestrutura permite que as equipes implementem práticas de infraestrutura como código, em que as configurações de infraestrutura são controladas por versão, testadas e implementadas usando os mesmos processos rigorosos aplicados ao código do aplicativo. Essa abordagem não apenas melhora a confiabilidade, mas também aprimora a colaboração entre as equipes de desenvolvimento e operações, um princípio fundamental da filosofia DevSecOps.

2. Operar: Manutenção automatizada e aplicação de patches

A fase "Operar" das operações de TI no DevSecOps concentra-se na manutenção da infraestrutura por meio de patches e atualizações automatizados. Esse aspecto é fundamental no atual cenário de ameaças em rápida evolução, em que novas vulnerabilidades são descobertas regularmente e a janela para exploração é cada vez mais estreita.

Os processos automatizados de manutenção e aplicação de patches garantem que os sistemas sejam atualizados prontamente, abordando proativamente as vulnerabilidades de segurança e os problemas de desempenho. Essa automação é essencial por vários motivos. Primeiro, ela reduz significativamente o tempo entre a descoberta de uma vulnerabilidade e sua correção, minimizando a janela de exposição. Em segundo lugar, ela garante a consistência em toda a infraestrutura, eliminando os riscos associados a atualizações parciais ou inconsistentes.

Além disso, as operações automatizadas reduzem a necessidade de intervenção manual, o que não apenas economiza tempo, mas também minimiza o risco de erro humano - uma fonte comum de violações de segurança e instabilidades do sistema. Ao automatizar as tarefas de manutenção de rotina, as equipes de TI podem se concentrar em iniciativas mais estratégicas, impulsionando a inovação e melhorando a arquitetura geral do sistema.

Essa abordagem de operações também apoia o princípio de melhoria contínua em DevSecOps. Com sistemas automatizados que monitoram e atualizam constantemente a infraestrutura, as equipes podem manter um estado de otimização contínua, garantindo que os sistemas não sejam apenas seguros, mas também tenham o melhor desempenho possível.

3. Monitoramento: Observabilidade da produção

O monitoramento eficaz e a observabilidade dos aplicativos em ambientes de produção são componentes cruciais de uma estratégia bem-sucedida de DevSecOps. Essa fase vai além do simples monitoramento do tempo de atividade; ela envolve insights abrangentes sobre o desempenho do aplicativo, a experiência do usuário e possíveis problemas de segurança em tempo real.

A implementação de práticas robustas de monitoramento e observabilidade permite que as organizações mantenham altos níveis de confiabilidade e tempo de atividade. Ao coletar e analisar continuamente os dados dos ambientes de produção, as equipes podem detectar e solucionar problemas antes que eles afetem os usuários. Essa abordagem proativa para a solução de problemas é essencial para manter a satisfação do usuário e evitar que pequenos problemas se transformem em grandes incidentes.

Além disso, a observabilidade da infraestrutura fornece dados valiosos para a melhoria contínua. Ao analisar os padrões de desempenho do aplicativo, o comportamento do usuário e as interações do sistema, as equipes podem identificar oportunidades de otimização e aprimoramento. Essa abordagem de desenvolvimento orientada por dados garante que as futuras iterações do aplicativo não sejam apenas ricas em recursos, mas também mais estáveis, seguras e eficientes.

As ferramentas avançadas de monitoramento de rede também podem desempenhar um papel fundamental na segurança. Ao implementar a detecção de anomalias e a análise de comportamento, as organizações podem identificar rapidamente possíveis ameaças à segurança ou atividades incomuns que possam indicar uma tentativa de violação. Essa integração do monitoramento de segurança à estratégia geral de observabilidade exemplifica a abordagem holística do DevSecOps, fornecendo observabilidade de produção integrada com testes de pré-produção.

4. Planejar: Ciclo de feedback contínuo

A fase de planejamento nas operações de TI fecha o ciclo do DevSecOps, fornecendo feedback crítico para o processo de desenvolvimento. Esse mecanismo de feedback é essencial para promover a melhoria contínua e garantir que os esforços de desenvolvimento estejam alinhados às realidades operacionais e aos objetivos comerciais.

Ao analisar os dados coletados dos ambientes de produção, as operações de TI podem direcionar as solicitações de aprimoramento com base em dados de desempenho do mundo real. Isso garante que as prioridades de desenvolvimento sejam definidas com base nas necessidades reais dos usuários e no desempenho do sistema, em vez de suposições ou requisitos desatualizados.

O conceito de orçamento de erros é outro aspecto crucial dessa fase de planejamento. Ao definir limites aceitáveis para erros e problemas de desempenho, as equipes podem equilibrar a necessidade de inovação rápida com o requisito de estabilidade do sistema. Essa abordagem permite que as organizações tomem decisões bem informadas sobre quando promover novos recursos e quando se concentrar em melhorias na confiabilidade e no desempenho do sistema.

As iniciativas de melhoria de desempenho também são impulsionadas por esse ciclo de feedback contínuo. Ao identificar gargalos, ineficiências ou áreas de alta utilização de recursos na produção, as operações de TI podem fornecer aos desenvolvedores metas concretas para otimização. Essa abordagem orientada por dados para o ajuste de desempenho garante que os esforços sejam concentrados onde terão o impacto mais significativo com o feedback da produção no mundo real.

Além disso, a fase de planejamento permite o alinhamento das prioridades de desenvolvimento com as realidades operacionais. Ao fornecer insights sobre os desafios e as restrições da execução de aplicativos em produção, as operações de TI ajudam a garantir que os novos recursos e as atualizações sejam projetados tendo em mente a operabilidade e a capacidade de manutenção desde o início.

Fazendo o DevSecOps trabalhar para você

Etapa 1: incorporar a segurança aos requisitos do software
Etapa 2: testar com antecedência, frequência e rapidez
Etapa 3: aproveitar as integrações para tornar a segurança do aplicativo uma parte natural do ciclo de vida
Etapa 4: automatizar a segurança como parte dos processos de desenvolvimento e teste
Etapa 5: monitorar e proteger durante e após o lançamento

Protegendo seu DevOps

OpenTextoferece recursos de DevSecOps de ponta a ponta. Ela oferece uma maneira unificada e flexível de integrar a segurança ao seu pipeline de DevOps para que você possa lançar software de alta qualidade na velocidade dos negócios. Essa plataforma baseada na nuvem trabalha com suas ferramentas de desenvolvimento para melhorar a eficiência da produção, maximizar a qualidade da entrega, garantir a segurança e alinhar as metas comerciais com os recursos de desenvolvimento.

OpenText™ Core Software Delivery Platform integra perfeitamente a segurança em todos os estágios, impulsionando a colaboração e aumentando a eficiência.
Aproveite a IA para transformar dados em insights acionáveis, impulsionando a tomada de decisões mais inteligentes.
Preveja e prepare-se para os riscos de segurança identificando as vulnerabilidades com antecedência.
Simplifique os processos de segurança para inovar mais rapidamente e combater as ameaças de forma proativa.
Liberte os desenvolvedores das verificações manuais de segurança, permitindo que eles se concentrem em inovações revolucionárias.
Gerencie ameaças e aumente seus recursos de resposta a ameaças com os insights de segurança em tempo real do Fortify.
Integre a segurança em seu pipeline de CI/CD e aproveite a IA para um fluxo de trabalho otimizado.
Entre no mercado mais rapidamente com um software seguro e em conformidade que se sincroniza perfeitamente com suas metas, estimulando a inovação e a eficiência com Core Software Delivery Platform + Fortify.

Fortify ajuda a incorporar a segurança ao DevOps

Plataforma de segurança de aplicativos holística, inclusiva e extensível para orquestrar e orientar sua jornada de AppSec.
Incorpore a segurança ao desenvolvimento e à implantação de aplicativos com Core Software Delivery Platform e Fortify.
O DevSecOps com Fortify permite a automação de testes aprimorada em todo o pipeline de CI/CD para encontrar erros de codificação.
A análise automatizada de código estático ajuda os desenvolvedores a eliminar vulnerabilidades e criar software seguro com Static Code Analyzer.
WebInspect Os testes dinâmicos de segurança de aplicativos analisam os aplicativos em seu estado de execução e simulam ataques contra um aplicativo para encontrar vulnerabilidades.
Assuma o controle total da conformidade de segurança de código aberto e da integridade da comunidade com OpenText™ Core Software Composition Analysis .
Obtenha clareza em toda a sua empresa agregando, analisando e relatando os resultados da avaliação em um único painel de vidro - independentemente da origem - com o Fortify Insight.

Soluções DevSecOps líderes do setor

Plataforma de segurança de aplicativos holística, inclusiva e extensível para orquestrar e orientar sua jornada de AppSec com a plataforma Fortify . (VE + Fortify)
Segurança de aplicativos como um serviço com Fortify on Demand por OpenText™.
O sucesso de um produto é melhor medido pelos clientes. Gartner Peer Insights, G2s, Fortify histórias de sucesso de clientes.
Líder comprovado no Quadrante Mágico do Gartner para testes de segurança de aplicativos.
Líder identificado em IDC

OpenText™ Core Behavioral Signals

Ele aborda de forma exclusiva os problemas de visibilidade de back-end, aplicando a análise comportamental aos registros de aplicativos de repositórios de IP, como o Source Code Management (SCM), e identifica as atividades de alto risco para que eles possam interromper o mau comportamento antes de uma violação.

IT Operations Cloud soluções

OpenText oferece um conjunto abrangente de soluções de operações de TI que se integram perfeitamente à estrutura DevSecOps, permitindo que as organizações obtenham todos os benefícios dessa abordagem integrada:

Na fase de implementação, o ITOM automatiza o provisionamento da infraestrutura e a implementação de aplicativos, garantindo consistência e conformidade em vários ambientes. Essa automação não apenas acelera o processo de implementação, mas também reduz significativamente o risco de erros de configuração e configurações incorretas de segurança.

Para operações contínuas, o ITOM oferece recursos avançados de automação de TI para gerenciamento de patches e gerenciamento de configuração. Esses recursos são essenciais para manter um ambiente de TI seguro e otimizado, solucionando automaticamente as vulnerabilidades e os problemas de desempenho à medida que eles surgem. A capacidade da solução de gerenciar ambientes locais e na nuvem a torna particularmente valiosa para organizações com infraestruturas híbridas.

As ferramentas de monitoramento e observabilidade do ITOM oferecem insights abrangentes sobre o desempenho dos aplicativos e da infraestrutura. Ao fornecer visibilidade em tempo real da integridade do sistema, das métricas de desempenho e dos possíveis problemas, o ITOM permite a resolução proativa de problemas e ajuda a manter altos níveis de confiabilidade do serviço.

Talvez o mais importante seja o fato de o ITOM fornecer insights e análises acionáveis que impulsionam a melhoria contínua. Ao analisar tendências, identificar padrões e prever possíveis problemas, o ITOM fornece às equipes de TI as informações necessárias para tomar decisões orientadas por dados e planejar estrategicamente futuros aprimoramentos e otimizações.

Em destaqueEm destaque

Analytics CloudAnalytics Cloud

Data Lakehouse e análisesData Lakehouse e análises

BI, visualização e relatóriosBI, visualização e relatórios

eDiscovery e soluções jurídicaseDiscovery e soluções jurídicas

OpenText™ Aviator Search

Business Network CloudBusiness Network Cloud

Automação da cadeia de suprimentosAutomação da cadeia de suprimentos

Integração B2BIntegração B2B

Colaboração seguraColaboração segura

Rastreabilidade da cadeia de suprimentosRastreabilidade da cadeia de suprimentos

Insights sobre a cadeia de suprimentosInsights sobre a cadeia de suprimentos

Aplicativos e serviços do setorAplicativos e serviços do setor

OpenText™ Business Network Aviator

Content CloudContent Cloud

Gerenciamento de documentosGerenciamento de documentos

Gerenciamento de conteúdo de IAGerenciamento de conteúdo de IA

Capture e Processamento Inteligente de DocumentosCapture e Processamento Inteligente de Documentos

Process AutomationProcess Automation

Integrações de negóciosIntegrações de negócios

Information ArchivingInformation Archiving

Soluções para o setorSoluções para o setor

Governança da informaçãoGovernança da informação

OpenText™ Content Aviator

Cybersecurity CloudCybersecurity Cloud

Segurança de aplicativosSegurança de aplicativos

Privacidade e proteção de dadosPrivacidade e proteção de dados

Threat Detecção e respostaThreat Detecção e resposta

Identity and Access ManagementIdentity and Access Management

Investigações e perícias digitaisInvestigações e perícias digitais

Threat IntelligenceThreat Intelligence

OpenText™ Cybersecurity Aviator

DevOps CloudDevOps Cloud

Plataforma DevOpsPlataforma DevOps

Functional TestingFunctional Testing

PPM e gerenciamento estratégico PortfolioPPM e gerenciamento estratégico Portfolio

Gerenciamento da qualidadeGerenciamento da qualidade

Engenharia de desempenhoEngenharia de desempenho

OpenText™ DevOps Aviator

Experience CloudExperience Cloud

Experiências na Web e em dispositivos móveisExperiências na Web e em dispositivos móveis

Contact Center AnalyticsContact Center Analytics

Mensagens e FaxMensagens e Fax

Cliente CommunicationsCliente Communications

Gerenciamento de ativos digitaisGerenciamento de ativos digitais

Jornada do cliente e dadosJornada do cliente e dados

OpenText™ Experience Aviator

IT Operations CloudIT Operations Cloud

Service ManagementService Management

Descoberta e CMDBDescoberta e CMDB

AIOps e observabilidadeAIOps e observabilidade

Gerenciamento de redeGerenciamento de rede

Cloud Management, FinOps e GreenOpsCloud Management, FinOps e GreenOps

AutomaçãoAutomação

OpenText™ IT Operations Aviator

OpenText™ ThrustOpenText™ Thrust

OpenText™ Thrust feixeOpenText™ Thrust feixe

OpenText™ Aviator Thrust

PortfolioPortfolio

Soluções de backup de dados corporativos e recuperação de desastresSoluções de backup de dados corporativos e recuperação de desastres

Ferramentas de gerenciamento unificado de endpointsFerramentas de gerenciamento unificado de endpoints

Trabalho híbrido, e-mail e colaboração em equipe Trabalho híbrido, e-mail e colaboração em equipe

Arquivamento de e-mail, descoberta eletrônica, conformidade de arquivamento de dadosArquivamento de e-mail, descoberta eletrônica, conformidade de arquivamento de dados

Conectividade e gerenciamento de documentosConectividade e gerenciamento de documentos

Informações reimaginadasInformações reimaginadas

Artificial IntelligenceArtificial Intelligence

SetorSetor

Aplicativos empresariaisAplicativos empresariais

Sua jornada para o sucessoSua jornada para o sucesso

Suporte ao clienteSuporte ao cliente

Serviços de sucesso do clienteServiços de sucesso do cliente

Serviços de consultoriaServiços de consultoria

Serviços NextGenServiços NextGen

Serviços de aprendizadoServiços de aprendizado

Serviços gerenciadosServiços gerenciados

Encontre um parceiro OpenTextEncontre um parceiro OpenText

Encontre uma solução de parceiroEncontre uma solução de parceiro

Crescer como parceiroCrescer como parceiro

Torne-se um parceiro

Biblioteca de ativosBiblioteca de ativos

Em destaque

Analytics Cloud

Data Lakehouse e análises

BI, visualização e relatórios

eDiscovery e soluções jurídicas

Business Network Cloud

Automação da cadeia de suprimentos

Integração B2B

Colaboração segura

Rastreabilidade da cadeia de suprimentos

Insights sobre a cadeia de suprimentos

Aplicativos e serviços do setor

Content Cloud

Gerenciamento de documentos

Gerenciamento de conteúdo de IA

Capture e Processamento Inteligente de Documentos

Process Automation

Integrações de negócios

Information Archiving

Soluções para o setor

Governança da informação

Cybersecurity Cloud

Segurança de aplicativos

Privacidade e proteção de dados

Threat Detecção e resposta

Identity and Access Management

Investigações e perícias digitais

Threat Intelligence

DevOps Cloud

Plataforma DevOps

Functional Testing

PPM e gerenciamento estratégico Portfolio

Gerenciamento da qualidade

Engenharia de desempenho

Experience Cloud

Experiências na Web e em dispositivos móveis

Contact Center Analytics

Mensagens e Fax

Cliente Communications

Gerenciamento de ativos digitais

Jornada do cliente e dados

IT Operations Cloud

Service Management

Descoberta e CMDB

AIOps e observabilidade

Gerenciamento de rede

Cloud Management, FinOps e GreenOps

Automação

OpenText™ Thrust

OpenText™ Thrust feixe

Portfolio

Soluções de backup de dados corporativos e recuperação de desastres

Ferramentas de gerenciamento unificado de endpoints

Trabalho híbrido, e-mail e colaboração em equipe

Arquivamento de e-mail, descoberta eletrônica, conformidade de arquivamento de dados

Conectividade e gerenciamento de documentos

Informações reimaginadas

Artificial Intelligence

Setor

Aplicativos empresariais

Sua jornada para o sucesso

Suporte ao cliente

Serviços de sucesso do cliente

Serviços de consultoria

Serviços NextGen

Serviços de aprendizado

Serviços gerenciados

Encontre um parceiro OpenText

Encontre uma solução de parceiro

Crescer como parceiro

Biblioteca de ativos

Blogs

Eventos

Comunidades

Histórias de clientes

OpenText Navegador

Mercado