Tecnologia > Gestão de Projetos, Governança, Segurança de Aplicação

Seria DevOps o novo Cálice Sagrado da segurança informação?

Veja como Google, Amazon e Facebook envolvem times segurança em processos ágeis de desenvolvimento e entrega de sistemas

04 de Março de 2016 - 12h46

De maneira bastante resumida, DevOps refere-se ao processo integrado entre desenvolvimento de sistemas e operações de TI. Em suma, é um esforço transversal de negócios para transformar a mentalidade de criação de software em ciclos mais curtos, testes mais rápidos, maiores níveis de automação - e códigos melhores (e mais seguros).

O conceito busca esses objetivos por meio de rotinas contínuas onde as equipes trabalham alinhadas desde o planejamento até a codificação, construção, testes, implementação, operação e monitoramento. A ideia é que isso ajude a criar ferramentas mais flexíveis e eficientes, além de um produto final de melhor qualidade.

Todos esses benefícios – já comprovados por muitas empresas – levam algumas organizações  a reforçarem o uso do conceito por questões de segurança. Certas companhias, inclusive, exploram o DevSecOps - o processo de envolver os times segurança da informação em todas as etapas do desenvolvimento de aplicações com a mentalidade ágil.

Fazer isso, no entanto, não é uma tarefa fácil. Envolver equipes de segurança no processo adiciona um ponto extra que pode complicar ainda mais as rotinas por trazer modelos operacionais e objetivos distintos aos esforços. Os resultados, porém, podem ser satisfatórios, uma vez que a ideia é construir aplicações mais resistentes desde sua origem, e não apenas adicionar recursos de proteção no final.

Google e Amazon vão por esse caminho

Boa parte das empresas que adotaram um modelo de DevOps alcançou uma série de benefícios iniciais. Uma pesquisa recente constatou que as organizações que abraçaram a metodologia aumentaram sua velocidade de ida ao mercado em 20%. Outro estudo revelou que 52% dos que incorporaram a cultura aumentaram a taxa de satisfação de seus clientes e 38% verificou crescimento em vendas.

Google e Facebook podem, indiscutivelmente, ser considerados pioneiros nessa jornada, utilizando práticas para inovar produtos que lançam no mercado. O mesmo vale para a Amazon Web Services (AWS).

Além desses três, a Yammer também recorreu a entregas contínuas como fator-chave no sucesso da melhoria em seu aplicativo para iPhone, enquanto a varejista norte-americana Walmart lançou sua plataforma baseada em nuvem OneOps para que os desenvolvedores pudessem criar e lançar produtos mais rapidamente e “mantê-los mais engajados ao longo de todo seu ciclo de vida."

O Netflix, por sua vez, criou o “Exército Simian”, um conjunto de ferramentas automatizadas usadas para teste de estresse de seus serviços, o que permite que a companhia de streaming de vídeo pudesse identificar e resolver proativamente falhas de segurança antes de se tornarem problemas sérios para os clientes.

Outras companhias, grandes e pequenas, têm usado DevOps para encurtar o desenvolvimento de software de dias para horas e parece que haverá muitos outros adeptos até o final deste ano. O Gartner prevê que um quarto dentre 2 mil organizações globais que participaram de uma de suas pesquisas embarcará nesse rumo nos próximos meses. Segundo a consultoria, trata-se de algo que sai do nicho para virar uma “estratégia mainstream”.

Uma vitória da segurança?

A maioria dos especialistas acredita que a “segurança desde a concepção” pode fortalecer a cultura DevOps. Mas, apesar dos exemplos acima, tem havido algumas questões a serem resolvidas, especialmente ao alinhar posturas de três times distintos, cada um com seu perfil de atuação, a um objetivo único.

Porém, acredita-se que através da automatização de segurança e dos testes de conformidade ao longo dos ciclos de desenvolvimento, de implantação e de produção, pode-se chegar a um nível de segurança nunca antes visto até agora.

“DevOps é realmente uma benção para profissionais de segurança, e pode, com a automatização bem feita e ferramentas operacionais, injetar elementos de proteção no processo de desenvolvimento, reduzindo vulnerabilidades já no código que, finalmente, chegar à produção”, escreveu James D. Brown, da JumpCloud, em um artigo publicado na Wired.

Seria o fim dos Heartbleeds?

Andy Chakraborty, um consultor de segurança baseado em Londres, acrescentou: “Com DevOps há uma relação muito mais estreita entre as pessoas que desenvolvem os sistemas e as que operam a infraestrutura da aplicação. Isso permite uma compreensão muito melhor do que o aplicativo faz e onde estão seus pontos fracos, tornando mais fácil o processo de consertá-los. E com a proliferação de bugs de segurança como heartbleed e Shellshock, uma boa compreensão do desenvolvimento, em última análise, permite que o pessoal de operações tome decisões mais informadas”.

Apesar disso, e do esforço de alguns para fazer o DevOps virar DevSecOps, nem todos concordam que a parceria de desenvolvimento e operações com times de segurança representa uma combinação harmoniosa. Há aqueles que dizem que esse alinhamento pode causar problemas por, supostamente, tornando mais difícil aos times de segurança compreender os riscos trazidos à organização.

Com a TI tradicional, onde o processo de desenvolvimento e implantação de ferramentas pode significar um trabalho demorado, os responsáveis por erguer as barreiras de proteção têm tempo suficiente para verificar os códigos e criar mecanismos de proteção.

Mas com DevOps, obter visibilidade das brechas antes de um aplicativo ser lançado é mais difícil, porque há pouco tempo para garantir que as portas e janelas (e frestas) foram fechadas. Afinal, como você pode conferir segurança quando defensores do conceito estão liberando código, em média, a cada 11 segundos?

Além disso, outros dizem que a metodologia pode automatizar processos errados, e, finalmente, fazer com que empresas passem longe de medir os riscos reais de segurança e conformidade, criando uma falsa sensação de segurança.

Desafios de adoção

Como qualquer novo conceito, DevOps tem numerosos desafios para a adoção em larga escala. O primeiro, e talvez mais importante, é sem dúvida o próprio nome. Alguns argumentam que o desenvolvimento contínuo de TI vem ocorrendo há muito tempo, enquanto outros cínicos sugerem que alguns fornecedores se assimilaram o termo como conotação marqueteira.

Outro ponto válido é sempre pensar que um projeto, geralmente, só vai adiante quando há comprovação de retorno sobre os recursos investidos. No caso da metodologia, que traz a premissa de evolução em ciclos constantes das ferramentas, fazer essa medição passa longe de ser trivial.

E parece que estas questões estão segurando algumas empresas que cogitam seguir nesse caminho. Um estudo recente patrocinado pela CA Technologies sugere que apenas 20% das companhias estão adotando DevOps, e a maioria das organizações falham na sua abordagem de definição de “requisitos fundamentais”, especialmente em termos de recursos humanos e objetivos de negócios claros.

Não há muitoa clareza sobre esse ponto. Afinal, essa jornada está apenas no início. No momento, existem bons motivos para crer que DevOps tende, sim, a fazer avançar a segurança das aplicações.