Segurança do aplicativo e as funções DevSecOps
O objetivo da segurança de aplicativos e do DevSecOps é integrar garantias de segurança em processos de desenvolvimento e aplicativos de linha de negócios (LOB) personalizados.
Modernização
O desenvolvimento de aplicativos está rapidamente sendo remodelado em vários aspectos simultaneamente, incluindo o modelo de equipe de DevOps, cadência de versão rápida de DevOps e a composição técnica de aplicativos por meio de serviços de nuvem e APIs. Veja como a nuvem está alterando as responsabilidades e relações de segurança para entender essas alterações.
A modernização dos modelos de desenvolvimento antiquados apresenta tanto uma oportunidade quanto uma necessidade de modernizar a segurança de aplicativos e processos de desenvolvimento. A fusão de segurança em processos de DevOps geralmente é conhecida como DevSecOps e as alterações das unidades, incluindo:
- A segurança é integrada, sem uma aprovação externa: o ritmo rápido das mudanças no desenvolvimento de aplicativos faz com que as abordagens de “examinar e relatar” clássico se torne obsoleta. Essas abordagens herdadas não podem acompanhar as versões afetar o desenvolvimento até haver uma parada e criar atrasos de tempo de colocação no mercado, subutilização do desenvolvedor e crescimento da pendência de problemas.
- Antecipar-se para envolver a segurança mais cedo em processos de desenvolvimento de aplicativos como correção de problemas anteriores é mais barato, rápido e mais eficiente. Se você aguardar um bolo assar, será mais difícil alterar a sua forma.
- Integração nativa: as práticas de segurança precisam ser integradas diretamente para evitar atritos prejudiciais em fluxos de trabalho de desenvolvimento e processos de CI/CD (integração contínua/implantação contínua). Para obter mais informações sobre a abordagem de GitHub, consulte Protegendo o software, juntos.
- Segurança de alta qualidade: a segurança precisa fornecer descobertas de alta qualidade e diretrizes que permitam aos desenvolvedores corrigir problemas rapidamente e não desperdiçar o tempo do desenvolvedor com falsos positivos.
- Cultura convergida: as funções de segurança, desenvolvimento e operações devem contribuir com elementos-chave em uma cultura compartilhada, valores compartilhados e metas compartilhadas e responsabilidades.
- Segurança ágil: mude a segurança de uma abordagem "deve estar perfeita para uso" a uma abordagem ágil que começa com a segurança viável mínima para aplicativos (e para os processos para desenvolvê-los) que é continuamente aprimorada.
- Adote recursos de segurança e infraestrutura nativas de nuvem para simplificar os processos de desenvolvimento ao integrar a segurança.
- Gerenciamento de riscos da cadeia de fornecedores: adote uma abordagem de confiança zero para o software de código aberto (OSS) e componentes de terceiros que validam sua integridade e garantem que as correções e atualizações de bugs sejam aplicadas a esses componentes.
- Aprendizado contínuo: o ritmo de lançamento rápido dos serviços de desenvolvedor, às vezes chamado de serviços de PaaS (plataforma como serviço), e a alteração da composição de aplicativos, significa que os integrantes da equipe de segurança e desenvolvimento estarão constantemente aprendendo novas tecnologias.
- Abordagem programática para segurança de aplicativos para garantir a melhoria contínua da abordagem Agile.
Para obter contexto adicional, consulte Ciclo de vida de desenvolvimento seguro da Microsoft.
Composição de equipe e relações importantes
A segurança do aplicativo e as funções DevSecOps são ideais para os desenvolvedores e as equipes de operações (com o apoio de especialistas no assunto da segurança).
Normalmente, essa função interage com outras funções e especialistas, incluindo:
- Arquitetura e operações de segurança
- Segurança da infraestrutura
- Comunicações (treinamento e ferramentas)
- Segurança de pessoas
- Identidade e chaves
- Equipes de conformidade/gerenciamento de riscos
- Principais líderes de negócios ou os respectivos representantes
Próximas etapas
Examine a função de segurança de dados.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de