Tópicos técnicos

O que é DevSecOps?

Ilustração de itens de TI com foco em um ponto de interrogação

Visão geral

O DevSecOps permite a integração de testes de segurança no início da segurança do aplicativo, no início do ciclo de vida de desenvolvimento do software, em vez de no final, quando as descobertas de vulnerabilidades que exigem mitigação são mais difíceis e caras de implementar.

O DevSecOps é uma extensão do DevOps e, às vezes, é chamado de DevOps seguro. Embora o DevOps possa significar coisas diferentes para pessoas ou organizações diferentes, ele envolve mudanças culturais e técnicas. O ideal é que a segurança seja um requisito implícito das DevOps bem-sucedidas.

O DevSecOps exige o planejamento da segurança de aplicativos e infraestrutura desde o início. As ferramentas certas podem ajudar a atingir a meta de segurança continuamente integrada, incluindo decisões como a seleção de um ambiente de desenvolvimento integrado (IDE) com recursos de segurança. As ferramentas e o processo também devem ser capazes de automatizar algumas portas de segurança para não retardar o fluxo de trabalho do DevOps.

DevSecOps

Benefícios do DevSecOps

Os desenvolvedores nem sempre codificam com a segurança em mente. Com uma mentalidade de DevSecOps, os desenvolvedores são capacitados com automação aprimorada em todo o pipeline de entrega de software e aplicativos para eliminar erros de codificação e, por fim, reduzir as violações.

As equipes que implementarem ferramentas e processos de DevSecOps para integrar a segurança à sua estrutura de DevOps poderão lançar software seguro mais rapidamente. Os desenvolvedores podem testar a segurança do código e detectar falhas de segurança à medida que o código é escrito. As verificações automatizadas podem ser iniciadas como parte de check-ins de código, compilações, lançamentos ou outros componentes do pipeline de CI/CD. Ao integrar-se às ferramentas que os desenvolvedores já estão usando, as equipes de desenvolvimento podem melhorar mais facilmente o aspecto de segurança do desenvolvimento de aplicativos Web.


Quais são os principais componentes do DevSecOps?

As abordagens de DevSecOps podem incluir esses componentes importantes:

Inventário de aplicativos/API
  • Automatize a descoberta, a criação de perfis e o monitoramento contínuo do código em todo o portfólio. Isso pode incluir código de produção em data centers, ambientes virtuais, nuvens privadas, nuvens públicas, contêineres, sem servidor e muito mais. Use uma combinação de ferramentas de descoberta automatizada e de autoinventário. As ferramentas de descoberta ajudam a identificar quais aplicativos e APIs você tem. As ferramentas de autorrelato permitem que seus aplicativos se inventariem e relatem seus metadados para um banco de dados central.
Segurança de código personalizado
  • Monitorar continuamente o software em busca de vulnerabilidades durante o desenvolvimento, os testes e as operações. Forneça códigos com frequência para que as vulnerabilidades possam ser identificadas rapidamente a cada atualização de código.
  • Static Application Security Testing (SAST) examina os arquivos de origem do aplicativo, identifica com precisão a causa raiz e ajuda a corrigir as falhas de segurança subjacentes.
  • Dynamic Application Security Testing (DAST) simula ataques controlados a um aplicativo ou serviço da Web em execução para identificar vulnerabilidades exploráveis em um ambiente em execução.
  • O IAST (Interactive Application Security Testing, teste interativo de segurança de aplicativos) fornece uma varredura profunda ao instrumentar o aplicativo usando agentes e sensores para analisar continuamente o aplicativo, sua infraestrutura, dependências, fluxo de dados, bem como todo o código.
Segurança de código aberto
  • O software de código aberto (OSS) muitas vezes inclui vulnerabilidades de segurança, portanto, uma abordagem de segurança completa inclui uma solução que rastreia as bibliotecas OSS e relata vulnerabilidades e violações de licença.
  • A Análise de Composição de Software (SCA) automatiza a visibilidade do software de código aberto (OSS) para fins de gerenciamento de riscos, segurança e conformidade de licenças.
Prevenção em tempo de execução
  • Proteja os aplicativos em produção - novas vulnerabilidades podem ser descobertas, ou os aplicativos legados podem não estar em desenvolvimento.
  • O registro pode informá-lo sobre os tipos de vetores e sistemas de ataque que estão sendo visados. Threat A inteligência informa os processos de modelagem de ameaças e arquitetura de segurança.
Monitoramento da conformidade
  • Permita a preparação para auditorias e um estado constante de conformidade com o GDPR, CCPA, PCI, etc.
Fatores culturais
  • Identificar campeões de segurança, estabelecer treinamento de segurança para desenvolvedores, etc.

Fazendo o DevSecOps trabalhar para você

Etapa 1: incorporar a segurança aos requisitos do software
Etapa 2: testar antecipadamente, com frequência e rapidamente
Etapa 3: aproveitar as integrações para tornar a segurança do aplicativo uma parte natural do ciclo de vida
Etapa 4: automatizar a segurança como parte dos processos de desenvolvimento e teste
Etapa 5: monitorar e proteger após o lançamento


Fortify ajuda a incorporar a segurança ao DevOps

  • Plataforma de segurança de aplicativos holística, inclusiva e extensível para orquestrar e orientar sua jornada de AppSec.
  • Incorpore a segurança ao desenvolvimento e à implementação de aplicativos com o ecossistema de integração Fortify .
  • O DevSecOps com Fortify permite a automação de testes aprimorada em todo o pipeline de CI/CD para encontrar erros de codificação.
  • A análise automatizada de código estático ajuda os desenvolvedores a eliminar vulnerabilidades e criar software seguro com Static Code Analyzer.
  • WebInspect Os testes dinâmicos de segurança de aplicativos analisam os aplicativos em seu estado de execução e simulam ataques contra um aplicativo para encontrar vulnerabilidades.
  • Assuma o controle total da conformidade de segurança de código aberto e da integridade da comunidade com o Debricked e o Fortify.
  • Obtenha clareza em toda a sua empresa agregando, analisando e relatando os resultados da avaliação em um único painel de vidro - independentemente da origem - com o Fortify Insight.

Soluções AppSec líderes do setor

  • Plataforma de segurança de aplicativos holística, inclusiva e extensível para orquestrar e orientar sua jornada de AppSec com a plataforma Fortify .
  • Segurança como um serviço com Fortify on Demand por OpenText™.
  • O sucesso de um produto é melhor medido pelos clientes. Gartner Peer Insights, G2s, Fortify histórias de sucesso de clientes.
  • Líder comprovado no Quadrante Mágico do Gartner para testes de segurança de aplicativos.

Notas de rodapé