Como funciona o shift-left em DevSecOps

O que é shift-left?

Shift-left, no contexto de DevSecOps, significa implementar testes e segurança nas fases iniciais do processo de desenvolvimento de aplicações. Esse processo é conhecido como “shift-left” porque move o componente de segurança ou teste para a esquerda (mais cedo) no ciclo de vida de desenvolvimento de software. 

O que é testagem shift-left?

Tradicionalmente, a testagem de aplicações é realizada no final do ciclo de vida do desenvolvimento. A testagem shift-left refere-se ao processo de testar componentes no início do processo para garantir que eles não apenas estejam funcionando corretamente, mas também atendendo aos requisitos de segurança. Isso garante que as equipes sejam operacionalmente eficientes no desenvolvimento dessas aplicações. 

O que é segurança shift-left?

A segurança shift-left é o processo de incorporação de práticas de segurança no início do processo de desenvolvimento da aplicação. O código vulnerável é identificado à medida que é desenvolvido e não na fase de testes, o que reduz o risco de ataque e resulta em aplicações mais seguras.

A segurança das aplicações e a proteção de workloads são preocupações crescentes à medida que as organizações avançam em sua transformação digital e movem seus ativos para a nuvem. A velocidade dos lançamentos de software, o uso de serviços baseados em nuvem, a incorporação de automação no processo de desenvolvimento de software e a taxa de inovação na cadeia de ferramentas de desenvolvimento são tendências que prejudicam a segurança das aplicações.

Invasores e adversários estão sempre procurando pontos fracos que possam explorar para atingir seu payload. À medida que organizações de todos os tamanhos reforçaram sua cibersegurança, os hackers voltaram sua atenção para aproveitar aplicações e workloads vulneráveis para atingir seus objetivos. E agora que “toda empresa é uma empresa de software”, as oportunidades para explorar aplicações são abundantes.

Tradicionalmente, o código é submetido a testes de segurança como a última fase antes do lançamento. Isso cria uma crise de tempo — os desenvolvedores geralmente trabalham até o último minuto, deixando a equipe de segurança com pouco tempo para garantir que o código esteja seguro. Quando vulnerabilidades são expostas, o lançamento é adiado ou a equipe de desenvolvimento tem que se esforçar para corrigir cada problema de segurança e a equipe de segurança tem que se esforçar para verificar as revisões. Isso é caro e atrasa lançamentos e inicializações de aplicações. Além disso, se as iterações forem lançadas às pressas, as chances de ignorar ou subestimar uma vulnerabilidade são significativas. A segurança de aplicações é uma parte essencial do ciclo de vida do desenvolvimento de software, e acertar deve ser uma prioridade máxima.

As organizações estão buscando maneiras de tornar a segurança um aspecto essencial do processo de desenvolvimento e dar aos desenvolvedores a capacidade de fornecer soluções seguras e confiáveis sem forçá-los a se tornarem especialistas em segurança — e sem frear o processo de desenvolvimento de aplicações. A segurança shift-left os ajuda a conseguir fazer isso reduzindo significativamente as preocupações de segurança em torno do desenvolvimento de software e aplicações nativas em nuvem.

Benefícios da segurança shift-left

A seguir estão alguns benefícios da incorporação de uma abordagem shift-left em relação à segurança: 

Automação

Processos automatizados resultam em menos erros humanos e menos problemas de produção. A cobertura dos testes é aumentada porque vários testes podem ser conduzidos ao mesmo tempo, e os testadores ficam livres para se concentrar em outras tarefas.

Entrega mais rápida de aplicações

A segurança shift-left reduz o tempo entre os lançamentos no mercado ao permitir que as equipes de DevOps e de segurança trabalhem em paralelo. Ela oferece suporte a uma entrega mais rápida de aplicações porque não há pausa na codificação enquanto a segurança realiza suas revisões. Testes contínuos significam que falhas de segurança são detectadas mais cedo, então as correções são menores em escala e consomem menos tempo. As equipes de DevOps e segurança são poupadas de muita frustração e noites mal dormidas, enquanto novas funcionalidades interessantes para o usuário são implementadas mais rapidamente.

Melhor infraestrutura

Melhorar a qualidade do software é um dos objetivos da segurança shift-left. Isso é feito permitindo que as equipes tenham tempo para identificar e resolver problemas o mais cedo possível no processo de desenvolvimento, o que pode reduzir o impacto negativo que alguns incidentes podem ter ou até mesmo eliminar alguns incidentes sofridos pelos clientes. 

Economia de custos

A shift-left reduz os custos associados a correções de bugs e de segurança em estágio avançado. Se bugs forem detectados depois que uma atualização for implementada para os clientes, o custo de correção do bug aumentará drasticamente. 

Melhor colaboração

Como uma abordagem shift-left promove a eficiência, é menos provável que os desenvolvedores entrem em pânico nos momentos de remediação. O aumento da eficiência ocorre, em parte, devido à maior colaboração entre desenvolvimento, operações e segurança.

Tipos de ferramentas e tecnologias de segurança shift-left

As ferramentas de segurança shift-left podem ser categorizadas em dois tipos: ferramentas de verificação de segurança e ferramentas de proteção do tempo de execução. Ferramentas de verificação de segurança são ferramentas de teste que simplificam a integração da segurança com o DevOps, e ferramentas de proteção de tempo de execução são ferramentas de cibersegurança que protegem uma aplicação durante sua execução.

Ferramentas de verificação de segurança/avaliação de imagens

Exemplos de ferramentas de segurança e varredura de imagens incluem: 

Teste de Segurança Estática de Aplicações (SAST)

O SAST é uma metodologia de segurança de aplicações usada para encontrar vulnerabilidades em uma aplicação. É um método de teste de “caixa branca”, o que significa que ele testa o funcionamento interno de uma aplicação em vez de sua funcionalidade. Uma ferramenta de SAST analisa o código-fonte sem executar a aplicação, para que possa encontrar vulnerabilidades no início do ciclo de desenvolvimento do software. Isso torna as correções menos dispendiosas de implementar. Embora as ferramentas de SAST suportem todos os tipos de software, elas não conseguem descobrir problemas relacionados ao tempo de execução e ao ambiente porque apenas verificam código estático.

Análise de Composição de Software (SCA)

A SCA identifica o código aberto dentro de uma base de códigos. Licenças de código aberto possuem limitações que são difíceis de rastrear manualmente. A SCA automatiza o processo de inspeção de gerenciadores de pacotes, manifestos, código-fonte, arquivos binários, imagens do container, etc., e compila suas descobertas em uma lista de materiais de software (SBOM). Esta SBOM é então comparada a vários bancos de dados para expor vulnerabilidades, problemas de licenciamento e problemas de qualidade de código. Os resultados permitem que as equipes de segurança identifiquem rapidamente vulnerabilidades críticas de segurança e legais e as priorizem adequadamente para mitigação.

Teste de Segurança Dinâmica de Aplicações (DAST)

O DAST é um método de teste de “caixa preta” usado na segurança de aplicações da web que se concentra em encontrar vulnerabilidades nas funcionalidades de uma aplicação em execução. Ele representa uma abordagem externa, pois o testador não tem visibilidade do funcionamento interno da aplicação. Essa forma de teste encontra vulnerabilidades no final do ciclo de vida de desenvolvimento do software. Como o DAST analisa dinamicamente uma aplicação em execução, ele só oferece suporte a aplicações e serviços da Web.

Ferramentas de proteção do tempo de execução

Algumas ferramentas de proteção do tempo de execução incluem:

Autoproteção de aplicações em tempo de execução (RASP)

A RASP detecta ataques a uma aplicação em tempo real, analisando o comportamento da aplicação em contexto. Ela intercepta todas as chamadas da aplicação para um sistema e valida solicitações de dados de dentro da aplicação, usando-a efetivamente para monitorar seu próprio comportamento. A RASP pode ser usada em aplicações dentro e fora da Web, pois suas funcionalidades de proteção operam no servidor da aplicação e são iniciadas quando a aplicação é inicializada.

Firewalls de aplicação Web (WAF)

Os WAFs filtram, monitoram e bloqueiam tráfego malicioso que tenta entrar em uma aplicação e impedem que dados não autorizados saiam da aplicação. Seu comportamento é determinado por conjuntos de políticas que os ajudam a distinguir o tráfego malicioso do seguro, portanto, sua eficácia é tão forte quanto as políticas de segurança da organização. Como uma empresa pode possuir milhares de WAFs e milhões de políticas, a automação é essencial para garantir que todos os WAFs estejam atualizados.

Gerenciamento de bots

O gerenciamento de bots detecta e impede que bots maliciosos executem ataques como ataques de negação de serviço distribuído (DDoS) na camada de aplicação (L7), injeção de SQL e stuffing de credenciais por meio do uso de soluções como listas de bloqueio/listas de permissões, armadilhas de bots e limitação de taxas. É necessário ter cuidado, porque um gerenciamento de bots excessivamente rigoroso pode bloquear tráfego legítimo da Web e bots criados internamente para fins de teste e automação.

Imagem do container e varredura de funções sem servidor

O desenvolvimento de aplicações hoje usa containers para agrupar o código-fonte de uma aplicação com todas as suas dependências em um único arquivo. Uma imagem do container é um arquivo que é mesclado com o arquivo do container. A imagem do container contém o código da aplicação, o tempo de execução, as ferramentas e bibliotecas do sistema e as configurações. A varredura de imagens do container analisa o conteúdo de um container e o processo de criação de uma imagem do container para expor problemas de segurança e práticas inadequadas.

A necessidade de varredura de funções sem servidor está aumentando, pois a maioria das aplicações modernas usa algum tipo de computação sem servidor para adquirir funções que são muito complicadas ou caras para valer a pena uma construção interna. O uso desses serviços — que são hospedados na AWS, Azure, etc. — requer a movimentação de dados da infraestrutura corporativa para o provedor de serviços de nuvem e outros lugares. Proteger esses dados em trânsito e em repouso é responsabilidade do proprietário da aplicação, não do provedor de serviços em nuvem, que apenas protege sua própria infraestrutura. A varredura de funções sem servidor requer um tipo diferente de monitoramento e depuração do que as aplicações hospedadas tradicionalmente. Soluções nativas em nuvem são a melhor escolha para essa finalidade.

Proteção para workloads

As aplicações modernas são distribuídas pela infraestrutura de nuvem em containers, Kubernetes e arquiteturas sem servidor. Esses ambientes estão sempre em evolução. A adição de novos serviços aumenta a superfície de ataque, e é difícil obter visibilidade em um ecossistema tão complexo e mutável.

A proteção do workload coloca os controles de segurança no nível de workloads de aplicações individuais. Ela permite que as organizações identifiquem e remediem vulnerabilidades em todo o ciclo de vida da aplicação, reforçando a conformidade e implementando configurações de segurança e práticas recomendadas em containers, Kubernetes e qualquer workload. Uma solução de proteção de workload na nuvem deve conter movimento lateral, expor anomalias comportamentais, rastrear a conformidade e reduzir a superfície de ataque.

Melhores práticas para a segurança shift-left

Certifique-se de seguir as seguintes práticas recomendadas ao adotar o shift-left:  

Incorpore segurança ao desenvolvimento de novas aplicações

Até que ponto a segurança deve ser shift-left? Até o fim. A segurança deve fazer parte do processo de desenvolvimento desde o primeiro momento em que os desenvolvedores começam a codificar. Use APIs para integrar a segurança aos conjuntos de ferramentas do desenvolvedor para que as equipes de segurança possam encontrar problemas antes que o código seja enviado para a ramificação principal.

Integrar a segurança de aplicações e containers na cadeia de ferramentas de DevOps

A segurança da aplicação shift-left começa com varreduras, mas elas não são úteis a menos que os resultados estejam disponíveis para a equipe de DevOps. O poder do shift-left está em fornecer os meios para que as equipes de DevOps trabalhem em conjunto com as equipes de segurança. Portanto, coloque esses resultados em um IDE da Web e em um relatório de pipeline da Web, onde os desenvolvedores podem consumi-los. Automatize a criação de uma SBOM que compila um inventário de todas as dependências em um projeto e use a varredura de imagens do container e a varredura de função sem servidor para expor vulnerabilidades conhecidas que existem em uma imagem de container, diretório de projeto ou serviço sem servidor.

Combine varreduras para melhorar a visibilidade e obter a priorização correta

Diferentes varreduras atendem a propósitos diferentes. O SAST e o DAST complementam-se e ambos são fundamentais para a segurança da aplicação. Qualquer organização que use bibliotecas de código aberto também se beneficiará da SCA. Todas as varreduras devem ser integradas em várias etapas do pipeline de integração/entrega contínua (CI/CD) para bloquear vulnerabilidades antes que elas cheguem a um registro. As varreduras no tempo de execução devem ser executadas para proteger a aplicação de novas Vulnerabilidades e Exposições Comuns (CVEs).

A abordagem da CrowdStrike

Esteja à frente das ameaças para manter sua empresa protegida contra ataques. A CrowdStrike redefiniu a segurança com a plataforma nativa em nuvem mais avançada do mundo, protegendo qualquer workload na nuvem, prevenindo ataques e permitindo que as organizações criem, executem e protejam aplicações nativas em nuvem.

O CrowdStrike Falcon® Cloud Security automatiza a segurança, detectando e interrompendo atividades suspeitas, ataques de dia zero e comportamentos de risco em todos os seus ambientes de nuvem, containers e aplicações do Kubernetes. A integração com fluxos de trabalho de CI/CD significa que as workloads podem permanecer seguras enquanto o DevOps trabalha em alta velocidade sem perda de desempenho.

Alimentada pela CrowdStrike® Security Cloud, a plataforma CrowdStrike Falcon® aproveita indicadores de ataque em tempo real, inteligência de ameaças, evolução sobre estratégia adversária e telemetria enriquecida vinda de toda a empresa para fornecer detecções, proteção e remediação automatizadas hiper precisas, serviços de investigação de ameaças de elite e observabilidade priorizada de vulnerabilidades.