Entender DevSecOps

  • 1 minuto

Embora a adoção da computação em nuvem esteja aumentando para dar suporte à produtividade dos negócios, a falta de infraestrutura de segurança pode comprometer inadvertidamente os dados.

O Relatório de Inteligência de Segurança da Microsoft de 2018 conclui que:

  • Os dados de não são criptografados em repouso e em trânsito por:
    • 7% de aplicativos de armazenamento SaaS (software como serviço).
    • 86%% dos aplicativos de colaboração SaaS.
  • A proteção de sessão de cabeçalhos HTTP é suportada apenas por .
    • 4% de apps de armazenamento SaaS.
    • 3% de aplicativos de colaboração SaaS.

DevOps seguro (ou DevSecOps)

DevOps é sobre trabalhar mais rapidamente. Segurança é sobre enfatizar a minuciosidade. As preocupações com a segurança normalmente são tratadas no final do ciclo. Ele pode potencialmente criar trabalho não planejado diretamente no final do pipeline. Secure DevOps integra o DevOps à segurança em um conjunto de práticas projetadas para atender às metas do DevOps e da segurança com eficiência.

Diagrama mostrando o Diagrama de Venn com um círculo de DevOps e um círculo de segurança sobreposto. A sobreposição é rotulada como Secure DevOps.

Um pipeline do Secure DevOps permite que as equipes de desenvolvimento trabalhem rapidamente sem interromper seu projeto introduzindo vulnerabilidades de segurança indesejadas.

Nota

O Secure DevOps também às vezes é conhecido como DevSecOps. Você pode encontrar ambos os termos, mas cada um se refere ao mesmo conceito.

Segurança no contexto do Secure DevOps

Historicamente, a segurança normalmente operava em um ciclo mais lento e envolvia metodologias de segurança tradicionais, como:

  • Controle de acesso.
  • Endurecimento do ambiente.
  • Proteção de perímetro.

O Secure DevOps inclui essas metodologias de segurança tradicionais e muito mais. Com o Secure DevOps, a segurança é sobre proteger o pipeline.

O Secure DevOps envolve determinar onde adicionar proteção aos elementos que se conectam aos pipelines de build e lançamento.

O Secure DevOps pode mostrar como e onde você pode adicionar segurança às práticas de automação, ambientes de produção e outros elementos de pipeline, beneficiando-se da velocidade do DevOps.

O Secure DevOps aborda questões mais amplas, como:

  • Meu pipeline está consumindo componentes de terceiros e eles estão seguros?
  • Há vulnerabilidades conhecidas em qualquer um dos softwares de terceiros que usamos?
  • Com que rapidez posso detectar vulnerabilidades (também chamado de tempo para detectar)?
  • Com que rapidez posso corrigir vulnerabilidades identificadas (também conhecidas como tempo para corrigir)?

As práticas de segurança para detectar possíveis anomalias de segurança devem ser tão robustas e rápidas quanto as outras partes do pipeline de DevOps. Ele também inclui automação de infraestrutura e desenvolvimento de código.