Security as Code: Segurança Como Fator De Qualidade

Em tempos de níveis cada vez maiores de exigência com a segurança, adicionar este elemento ao desenvolvimento não é só uma opção: é parte da qualidade do produto

Ao longo de 19 anos de minha atuação com TI, pude observar as mudanças do que era essencial para os produtos digitais: leveza para rodar com poucos recursos de processamento, interface minimamente amigável e, recentemente, segurança pensada já desde o princípio.

Com os custos de vazamentos de dados previstos para chegarem a US$ 150M, em média, neste ano, e hackers cada vez mais sofisticados e detalhistas, as empresas precisam criar produtos digitais que realmente consigam resistir aos ataques de criminosos. Para isso, o melhor caminho é seguir o princípio chamado de Security as Code, dentro da cultura DevOps.

A ideia aqui é que os times de desenvolvimento, segurança e operações atuem juntos no planejamento dos produtos, já olhando para questões como funcionalidades, custos e segurança desde o começo do projeto. Na prática, isso faz com que problemas que poderiam atrasar o desenvolvimento ou, o que é pior, gerar produtos com vulnerabilidades que podem ser exploradas por atacantes, sejam evitados já no projeto e durante o desenvolvimento.

Implantar o DevSecOps depende, basicamente, de trabalhar a cultura da empresa. Normalmente, os times já possuem as skills necessárias para fazer bem cada etapa do trabalho: o segredo é colocar todos eles em contato constante desde a concepção até o deploy. Quebrar os silos das áreas faz com que os times compartilhem conhecimentos e, juntos, consigam fazer escolhas melhores sobre linguagens, frameworks, plataformas e outros itens importantes. 

Outro ponto essencial para garantir a segurança das aplicações que seus times criam está no uso de ferramentas de análise, que ajudam a detectar falhas e vulnerabilidades tanto no código quanto em frameworks, dependências (como em python e node.js, entre várias outras) e contêineres. Estes recursos são importantes, primeiro, porque boa parte dos códigos usados no desenvolvimento de novas aplicações já vem pronta de repositórios ou nos frameworks usados, e podem já trazer vulnerabilidades que prejudiquem seu produto. Segundo, mesmo nos códigos que você e seu time criam podem aparecer falhas que podem ser exploradas por hackers.

Ainda falando de tecnologia, vale a pena investir na automação da segurança no processo de desenvolvimento. Existem várias APIs que ajudam a automatizar o processo de análise de vulnerabilidades diretamente no pipeline de CI/CD, gerando mais insights importantes de segurança para builds mais seguras.

Garantir que os produtos digitais sejam confiáveis e disponíveis não é só um aspecto de segurança puramente, mas antes um aspecto de qualidade que gera e aumenta o valor percebido pelos clientes. Por este motivo, é importante que o ciclo de desenvolvimento e criação de produtos tenha a segurança como um dos indicadores a serem monitorados durante todo o ciclo de entregas.

Em resumo, segurança já deixou de ser um diferencial para ser uma necessidade, e todo mundo que quiser criar produtos digitais confiáveis e de sucesso precisa ter uma visão clara sobre proteção de aplicações desde o início do desenvolvimento. Por isso, o DevSecOps é o melhor caminho, porque traz tanto visibilidade quanto conhecimentos necessários para criar rápido e com segurança. Para saber mais sobre este assunto, assista ao meu webinar, no qual explico com mais detalhes a importância da metodologia e como ela pode ser aplicada, além de dar algumas dicas de implantação e de ferramentas para desenvolvedores. Você pode se cadastrar para ter acesso total à gravação do webinar aqui.Este artigo faz parte de uma série de publicações sobre segurança aplicada ao DevOps; você pode conferir mais neste ebook sobre segurança automatizada e também assistir a este outro webinar, no qual o especialista Aloísio Marinho fala de RASP e como esta tecnologia pode beneficiar o DevOps.