2. ANTES DE TUDO, O
QUE É DEVOPS?
• SÃO PRÁTICAS QUE ENFATIZAM A
COMUNICAÇÃO, COLABORAÇÃO E
A INTEGRAÇÃO ENTRE AS
EQUIPES DE DESENVOLVIMENTO E
AS OPERAÇÕES DE UMA
EMPRESA.
• OBJETIVO: REDUZIR O TEMPO NO
LANÇAMENTO DE NOVAS
VERSÕES E FUNCIONALIDADES,
ALÉM DE AGILIZAR O
DESENVOLVIMENTO E AUMENTAR
A ESTABILIDADE DAS APLICAÇÕES.
3. DEVSECOPS
• É A INTEGRAÇÃO DA EQUIPE DE
SEGURANÇA COM AS EQUIPES DE
DESENVOLVIMENTO E
OPERAÇÕES, BUSCANDO TODOS
OS BENEFÍCIOS DO DEVOPS SEM
RENUNCIAR A SEGURANÇA E,
AINDA, UTILIZAR A MESMA
FILOSOFIA DE ENTREGA RÁPIDA
ADICIONANDO ETAPAS DE
SEGURANÇA NO CICLO DE
DESENVOLVIMENTO DE
SOFTWARE.
4. ONDE A SEGURANÇA ENTRA NESSE
PROCESSO?
•NO CICLO DE DESENVOLVIMENTO E NO
APOIO DAS EQUIPES OPERACIONAIS,
OU SEJA, INTEGRAR A EQUIPE DE
SEGURANÇA NO PLANEJAMENTO E/OU
MELHORIA DE UM SOFTWARE
5. DEVSECOPS – VISÃO:1) MENTALIDADE FOCADA EM:
CONFIABILIDADE
REPETIBILIDADE
RASTREABILIDADE
MÍNIMA OU NENHUMA INTERVENÇÃO MANUAL
2) PRÁTICAS VOLTADAS PARA AUTOMAÇÃO:
CONSTRUÇÃO AUTOMATIZADA
TESTE AUTOMATIZADO
IMPLEMENTAÇÃO AUTOMATIZADA
MONITORIZAÇÃO AUTOMATIZADA
INFRAESTRUTURA AUTOMATIZADA (TECNOLOGIA DE CONTÊINER, ETC.)
6. INICIANDO A SEGURANÇA NO DEVOPS
• INFRAESTRUTURA: APLICAR MELHORES PRÁTICAS DE
SEGURANÇA PARA A IMPLEMENTAÇÃO DOS SERVIDORES E
SERVIÇOS QUE SERÃO UTILIZADOS.
• DESENVOLVIMENTO: MAPEAR AS PARTES MAIS CRÍTICAS DO
CÓDIGO (EXEMPLOS: API'S, FORMULÁRIOS, SITE COM ACESSO
DE LOGIN E SENHA, ETC)
7. SEGURANÇA E DEVOPS ANDAM
JUNTOS
• A EQUIPE DE SEGURANÇA DEVE SER PARCEIRA DAS
EQUIPES DE DESENVOLVIMENTO E INFRA.
OFERECER TREINAMENTOS E DICAS (COMO O
PROJETO OWASP - OPEN WEB APPLICATION SECURITY
PROJECT), QUE DISPONIBILIZA ARTIGOS,
METODOLOGIAS, FERRAMENTAS E TECNOLOGIAS PARA A
SEGURANÇA DE APLICAÇÕES WEB.
•
• SITE OWASP: HTTPS://WWW.OWASP.ORG
8. DEVSECOPS
RESULTADOS:
• UM CONJUNTO SEGURO E CONSISTENTE DE AMBIENTES DE
DESENVOLVIMENTO
• INTEGRAÇÃO RÁPIDA DE FORNECEDORES E OUTROS
COLABORADORES DO PROJETO POR MEIO DE UM AMBIENTE
DE DESENVOLVIMENTO PRÉ-EMPACOTADO
• QUALIDADE MÍNIMA DE CÓDIGO PADRÃO MEDIDA ATRAVÉS DE
TESTES UNITÁRIOS AUTOMATIZADOS E APLICADOS E
PADRÕES DE CÓDIGO (VIDE INDICAÇÃO NO SLIDE SEGUINTE)
• FEEDBACK RÁPIDO ATRAVÉS DE PROCESSOS
AUTOMATIZADOS DE ENTREGA CONTÍNUA
• GERENCIAMENTO DE MUDANÇA (TANTO PARA NOVAS
FUNCIONALIDADES QUANTO ALTERAÇÕES EM SERVIDORES E
BANCO DE DADOS)
• TODAS AS ALTERAÇÕES NOS AMBIENTES
(DESENVOLVIMENTO, HOMOLOGAÇÃO E PRODUÇÃO), DEVEM
COMTEMPLAR NA VALIDAÇÃO DE DEVSECOPS.