O que é segurança Shift Left?

Shift left refere-se a mover a segurança mais cedo no processo de desenvolvimento. Representando graficamente o processo de desenvolvimento de aplicativos, tendo o tempo como eixo X, o processo começa com o reconhecimento de uma necessidade que uma tecnologia ou serviço irá atender, seja um aplicativo sendo desenvolvido para venda a clientes pagantes ou para uso interno. À medida que a solução passava pelos estágios de concepção, projeto, desenvolvimento, construção e teste, a segurança era muitas vezes uma etapa final, antes da implantação. A segurança foi meramente envolvida na parte externa do aplicativo antes de ser liberada para os usuários finais. E esta etapa, necessariamente, acrescentou tempo.

Além disso, uma integração mais estreita da segurança em todo o processo leva a melhores resultados de segurança, em vez de aplicá-la no final.

Mudar para a esquerda é a maneira de solucionar esses problemas.

CloudGuard DevSecOps Teste gratuito

O que é segurança Shift Left?

Os perigos de manter a segurança correta

Com a publicação imediata do software vem a publicação imediata de quaisquer riscos.

O Seis pilares do DevSecOps: Automation, publicado pela Segurança de nuvem Alliance (CSA), afirma: “A segurança só pode ser alcançada quando for projetada. A aplicação tardia de medidas de segurança é uma receita para o desastre.

As proteções de segurança devem seguir os mesmos caminhos automatizados. A forte integração da segurança durante todo o ciclo de vida de desenvolvimento pode não apenas acelerar o tempo de lançamento, mas também resultar em maior segurança.

Coopere em vez de entrar em conflito

O processo tradicional de implementação de segurança após a conclusão do desenvolvimento, mas antes do lançamento, resultava em conflitos frequentes entre as equipes de segurança e de desenvolvimento. À medida que as equipes de desenvolvimento concluíam sua parte da tarefa, elas procuravam colocar o aplicativo nas mãos dos usuários finais, para entregar o resultado de seus esforços, começar a coletar feedback e cumprir prazos. O fato de a segurança frear as liberações resultou em relações antagônicas entre os dois.

Uma pesquisa com mais de 165 desenvolvedores, profissionais de segurança de aplicativos e DevOps conduzida pela ShiftLeft descobriu que 89% dos entrevistados disseram que a atual desconexão entre desenvolvedores e equipes de segurança cibernética é o maior inibidor da produtividade.

Ao mudar a segurança para a esquerda, as equipes podem cooperar e integrar os processos necessários para preparar os aplicativos para lançamento no prazo e com segurança.

Incorporar responsabilidade pela segurança antecipadamente

Mudar para a esquerda envolve fazer alterações em quando, onde e como aplicar as melhores práticas de segurança. A segurança deve construir confiança com desenvolvedores e DevOps. Éútil compreender a cultura de automação DevOps e a velocidade com que eles implantam o código.

Como parte da mudança para a esquerda, você deve fornecer aos desenvolvedores as ferramentas para realizarem seu trabalho com segurança, sem adicionar trabalho. Isso inclui automatizar a segurança, como conduzir verificação de vulnerabilidade no ponto de implantação e gerar permissões para funções Lambda.

Remover Fricção

Embora a segurança deva ser proativa, é um desafio alcançá-la mantendo essa velocidade. Você precisa obter controle, governança e observabilidade. Os profissionais de segurança devem permitir, em vez de restringir, os negócios.

É importante que os desenvolvedores entendam os métodos de codificação seguros. Isso pode permitir que os desenvolvedores, e não os analistas de segurança, verifiquem e eliminem a vulnerabilidade antecipadamente.

Como Marco Rottigni, diretor técnico de segurança, disse à Computer Business Review, “Os desenvolvedores devem ser capacitados com plug-ins que acionam controles de segurança e Conformidade em cada etapa do processo DevOps, expondo os resultados diretamente nas ferramentas que eles comumente usam para permitir uma correção rápida do código vulnerável.”

Embora tenha havido progresso na mudança para a esquerda, muitas vezes não é suficiente. Mais de 42% dos entrevistados na pesquisa Mapping the DevSecOps Landscape 2020 Survey do GitLab disseram que os testes acontecem tarde demais no ciclo de vida.

Sem automação de segurança, as equipes de DevOps muitas vezes são prejudicadas pela necessidade de aguardar a aprovação humana.

Ferramentas para equipar a segurança do Shift Left

  • Teste de segurança de aplicativo estático (SAST)
  • Teste dinâmico de segurança de aplicativos (DAST)
  • Verificações de contêiner
  • Varreduras de conformidade
  • Verificações de dependência

Concedendo tempo para mudar para a esquerda

Como Paul Holland escreveu na Computer Weekly, “os CISOs precisam perceber que os desenvolvedores devem ter tempo para desenvolver com segurança e não julgar seu desempenho apenas pelo tempo de construção”.

Não é razoável atribuir tarefas adicionais de segurança de aplicativos aos desenvolvedores, esperando que eles mantenham um ritmo furioso. Embora mudar a segurança para a esquerda resulte em um processo mais eficiente e possa acelerar o tempo de lançamento no mercado, ainda deve ser alocado tempo para tarefas de segurança, como revisões de código.

Automatizar para deslocar para a esquerda

Os controles de segurança não podem ser integrados com êxito sem recursos de segurança automatizados que permitam feedback oportuno e significativo. Ao adotar, mesmo que modestos, recursos de segurança automatizados, classes inteiras de risco podem ser potencialmente eliminadas”, disse Sean Heide, Analista de Pesquisa Segurança de nuvem Alliance.

Automatize a correção. Não crie tickets para resolver coisas que poderiam ser resolvidas de forma automatizada. Ofereça aos desenvolvedores autoatendimento para avaliar a segurança de uma pilha que estão prestes a implantar.

Nigel Kersten, diretor de tecnologia de campo da Puppet, enfatizou a importância da implantação da automação em escala nas práticas de DevSecOps. “Sem [automação em escala], as organizações acabarão com os mesmos processos manuais e os mesmos incentivos conflitantes. Então, em vez de DevSecOps, essas empresas ficam apenas com Dev, Sec e Ops.

Automatize a segurança em toda a nuvem

Soluções díspares são insuficientes. Em particular, a segurança dos aplicativos não foi projetada para se adaptar automaticamente às alterações dos aplicativos. A grande escala da maioria das infraestruturas em nuvem, juntamente com os ambientes dinâmicos, tornam a segurança particularmente desafiadora.

Os profissionais de segurança de hoje precisam implantar segurança multicamadas em todos os ambientes de nuvem – com uma abordagem de segurança e linguagem política consistentes em tudo o que você faz. A Check Point fornece uma abordagem de segurança automatizada que protege na escala e velocidade da nuvem. Acompanhe suas configurações com gerenciamento de postura e visibilidade de alta fidelidade em torno dos ativos. Mantenha a proteção de acordo com as melhores práticas e também com suas próprias políticas. Monitore e execute ações continuamente em toda a infraestrutura de nuvem.

×
  Opinião
Este site usa cookies para sua funcionalidade e para fins de análise e marketing. Ao continuar a usar este site, você concorda com o uso de cookies. Para mais informações, leia o nosso Aviso de Cookies.
OK