Entregas mais rápidas resultaram numa incapacidade das equipes de segurança tradicionais de proteger esses novos ambientes dinâmicos.
Para não ficar de fora, as equipes de segurança passaram a perceber as enormes vantagens de se integrar à cultura DevOps. Afinal, fazer parte do ciclo de desenvolvimento possibilita a introdução de novas versões do software ainda nas primeiras fases do serviço, duração reduzida de testes e consequentemente maior segurança e entrega mais ágil de valor para o negócio.
DevSecOps – a quebra do mindset tradicional
Com o objetivo de chegar a um nível de segurança cada vez maior, surgiu então o DevSecOps: combinação de approaches tradicionais do DevOps com práticas de segurança mais fortemente construídas desde a concepção até entrega do produto final, sempre de forma automatizada.
A prática desta nova abordagem exige, porém, um novo mindset e mudança cultural a ser encarada pelo setor de TI para integrar-se a todos os setores da empresa. Em um ambiente tradicional, entregas mais rápidas podem prejudicar a capacidade de equipes de segurança em proverem a defesa necessária para as novas aplicações, e falharem em atender o movimento do desenvolvimento ágil, resultando muitas vezes na incapacidade da equipe em proteger os serviços da empresa.
Para aqueles que desejam inserir o DevSecOps em suas empresas é preciso então estimular, aos poucos, uma mudança de atitude nos times de DevOps e segurança, mostrando que a metodologia pode trabalhar como um aliado dentro da empresa.
É claro que como todo novo processo, existe um tempo considerável até que todos trabalhem mais estreitamente. Mas alguns pontos podem ser colocados em prática para ajudar na concretização desta mudança:
- Reduza barreiras físicas e estimule o diálogo entre as equipes de DevOps e Segurança;
- Automatize processos de segurança com a ajuda dos desenvolvedores: uma segurança automatizada integrada ao pipeline de desenvolvimento permite que releases vulneráveis não cheguem à produção;
- Entendimento mútuo: dê o tempo necessário aos desenvolvedores para trabalhar suas habilidades em segurança de aplicativos e ferramental;
- Mostre que o correto funcionamento da aplicação, sua manutenção e segurança é uma responsabilidade compartilhada entre todas equipes.
Como dito, envolver as equipes para um trabalho de responsabilidade compartilhada, não é tarefa fácil e pode levar a atritos. A questão é que o desenvolvimento multidisciplinar, apesar de resistente no início, é vantajoso para todos os lados.
A mentalidade ágil não só permite construir aplicações mais resistentes desde o início, como também otimizar gastos. Um bug descoberto no início do processo de desenvolvimento torna relativamente mais baixo o custo com correções.
Este é o momento de seguir uma tendência que veio para ficar: o DevSecOps deve ser tratado como prioridade e estimulado pelas diretorias das empresas de TI. A mudança de paradigmas é para valer, e é urgente.
