DevSecOps: onde a agilidade encontra a segurança

Por Igor Valoto e Felippe Batista*

A evolução das experiências de compra hoje é constante nos meios digitais. Não há novidades aqui. Grandes players do e-commerce, como a Amazon, por exemplo, realiza uma nova atualização a cada 11,7 segundos (de acordo a Techbeacon). Isso quer dizer que, na gigante norte-americana, do momento em que o consumidor adiciona um produto ao carrinho virtual até o momento do fechamento do pedido, o cliente já está em um site diferente pois algumas dessas atualizações já foram implementadas – muitas vezes imperceptíveis, mas sempre cruciais para a manutenção e evolução da qualidade de compra.

Essa eficiência só é possível graças ao DevOps, metodologia de trabalho que tem como objetivo acelerar o lançamento de aplicações integrando completamente pequenas equipes de desenvolvimento e de operações. O modelo de DevOps é empregado por praticamente todos os gigantes da tecnologia – como Netflix, Adobe, Spotify – pois apenas assim essas companhias são capazes de atualizarem seus sistemas conforme a demanda de mercado, sem colocar a operação em risco.

Imagine se, ainda hoje, essas empresas digitais deixassem para lançar novas aplicações apenas durante a madrugada, quando, teoricamente – e só teoricamente, pois hoje todos estamos conectados 7X24 -, há menos usuários na plataforma. Impraticável no cenário atual. Isso acontecia pois, há alguns anos, não existia nas empresas, com o mesmo direcionamento e propósito, nenhuma das principais características que encontramos hoje com DevOps: infraestrutura ágil, mudança cultural, automação e monitoramento.

Além desses fatores, preciso mencionar também outro ponto-chave para aplicações bem-sucedidas: a segurança cibernética – que atualmente transforma todo esse processo em DevSecOps. Explicando a metodologia de trabalho antes do DevOps e a aplicação da cibersegurança em toda essa jornada, é importante entender que, há algum tempo, desenvolvimento e operação trabalhavam de formas independentes, cada qual no seu quadrado e garantindo sua própria estrutura e seu interesse. A área de development sempre demandou agilidade, com o objetivo de lançar as aplicações o mais rápido possível. Já a turma da infraestrutura precisa de estabilidade, manter o site operando sem nenhum problema ou quedas no sistema, o que demanda tempo para integração, implantação e monitoramento.

Agora, vamos adicionar nesse embate o fator-chave mencionado anteriormente: a cibersegurança. Depois de finalizado o desenvolvimento e com a operação já prestes a subir a aplicação – lembrando que esse processo já era moroso, com cada grupo visando apenas o próprio interesse -, eram feitos os testes de segurança e, caso fossem descobertas brechas e vulnerabilidades, o processo voltava ao estágio inicial e o desenvolvedor precisava corrigir toda a aplicação. O que significa que correções importantes no sistema demoravam a subir.

Contudo, com o passar do tempo, novas culturas foram implementadas, o modus operandi foi revisto e a tecnologia foi atualizada – eureca! -. Com isso, o DevSecOps virou sinônimo de agilidade, eficiência e seguridade. Os profissionais de cibersegurança entraram de vez nesse processo, seja com equipes internas ou com empresas especializadas – ou as duas coisas -, que atuam muitas vezes em um processo de consultoria nesse universo para gerar ambientes seguros.

Novos modelos como containers e microserviços e tendências como shift left – que coloca a atenção da cibersegurança também no lado esquerdo do pipeline de DevOps, e não mais apenas na operação -, evoluíram muito o trabalho conjunto para novas aplicações e, nesse campo, automação em prevenção de ameaças é o foco da segurança cibernética. Atuando de ponta a ponta no pipeline, as soluções de cibersegurança respondem automaticamente ainda na etapa de desenvolvimento, antes da aplicação entrar em produção, fazendo com que o time ganhe tempo e consiga trabalhar com a agilidade necessária.

E o que todo esse avanço tecnológico representa? É receita infalível para processos mais ágeis? Não. Tudo isso depende, principalmente, da mudança cultural na metodologia de trabalho e em como a companhia enxerga esse processo. Erros podem acontecer no caminho, mas errar rápido e corrigir rápido, sem danos às informações, principalmente dos clientes, só é possível se tecnologia e equipes realmente seguem no mesmo fluxo contínuo de evolução do trabalho.

*Igor Valoto e Felippe Batista são especialistas em cibersegurança na Trend Micro Brasil.