No início do desenvolvimento, desenvolvimento e operações de software program funcionaram separadamente e sequencialmente. Os desenvolvedores escreveram e testaram o código, depois o entregaram às operações (normalmente um engenheiro de infraestrutura ou administrador de sistemas) para implantação de produção.
Essa abordagem tinha desvantagens: o código geralmente falhou na produção e novos recursos foram entregues em lançamentos grandes e pouco frequentes, sem testes anteriores e suggestions do usuário.
Qual é a diferença entre DevOps e DevSecops?
DevOps Emergiu no ultimate dos anos 2000 como uma resposta a essas ineficiências, permitindo que as empresas liberem software program mais rapidamente. Os desenvolvedores assumem mais responsabilidade por seu código em execução na produção e objetivos compartilhados e colaboração entre desenvolvedores e equipes de OPS significa software program mais estável e confiável. Ainda havia um obstáculo: neste modelo, a segurança geralmente é uma reflexão tardia, pois pode desacelerar a entrega.
É aí que entrou o DevSecops.
O DevSecops integra práticas de segurança diretamente no fluxo de trabalho do DevOps. Em vez de tratar a segurança como um merchandise ultimate da lista de verificação antes da implantação, o DevSecops tece a segurança em todas as fases do ciclo de vida do desenvolvimento de software program – do planejamento e codificação até testes, implantação e monitoramento.
Trazer a segurança para o DevOps alinha as metas e a responsabilidade das equipes, garantindo a colaboração para fornecer produtos seguros e funcionais. Essa estratégia proativa garante que as vulnerabilidades sejam identificadas e abordadas antecipadamente, reduzindo riscos e acelerando a entrega.
Aprenda algo novo de graça
Quais são alguns princípios e práticas importantes do DevSecops?
Mudança de segurança esquerda
Essa é a prática de abordar a segurança no início do ciclo de vida do desenvolvimento de software program, começando desde as fases de design e codificação.
Automação
O DevSecops geralmente envolve o uso de ferramentas de automação para executar automaticamente verificações de segurança, varreduras de código e testes de conformidade em todo o pipeline de desenvolvimento.
Integração e implantação contínuas (CI/CD)
No DevSecops, o CI/CD garante que as alterações de código sejam construídas, testadas e implantadas automaticamente com verificações de segurança integradas em todas as etapas.
Teste de segurança de aplicativos estático (SAST)
O SAST envolve analisar o código -fonte para vulnerabilidades de segurança no início do processo de desenvolvimento.
Teste de segurança de aplicativos dinâmicos (DAST)
A Dast in DevSecops se concentra na identificação de vulnerabilidades na execução de aplicativos, simulando ataques do mundo actual. Integrado em estágios posteriores do pipeline CI/CD, o DAST ajuda a descobrir problemas como falhas de injeção ou problemas de autenticação que aparecem apenas durante o tempo de execução.
Análise de composição de software program (SCA)
A SCA identifica vulnerabilidades e riscos de licenciamento em dependências de código aberto usadas em um aplicativo.
Infraestrutura como Código (IAC)
O IAC envolve gerenciar e provisionar a infraestrutura por meio do código, permitindo ambientes consistentes e repetíveis. Ao incorporar verificações de segurança em modelos IAC, as equipes podem detectar as configurações incorretas com antecedência e garantir a infraestrutura segura desde o início do processo de implantação.
Segurança de contêineres
A segurança do contêiner no DevSecops se concentra na proteção de aplicativos de contêiner durante todo o ciclo de vida – da criação de imagens ao tempo de execução.
Que tipos de funções você pode ter no DevSecops?
Kyle Richardsfundador de Kioni Expertisepossui um diploma em ciência da computação e mais de 10 anos de experiência em recrutamento em engenharia de software program, segurança cibernética, infraestrutura e DevOps. Abaixo, ele compartilha idéias para os alunos interessados em seguir uma carreira no DevSecops.
Sendo uma disciplina relativamente nova, os papéis de devsecops podem assumir algumas formas e ter nomes diferentes, diz Kyle. “Algumas empresas contratam engenheiros ou especialistas em DevSecops, enquanto outros ainda simplesmente usam o título de ‘DevOps’, incluindo um elemento de segurança na descrição do trabalho.”
Em termos gerais, essas pessoas são responsáveis por integrar processos de segurança no desenvolvimento de software program e no ciclo de vida da entrega. Isso permite que as empresas enviem rapidamente sem sacrificar a segurança.
O tamanho da empresa também pode influenciar o quão multifuncional são as funções. “É mais provável que as empresas maiores tenham equipes dedicadas ao DevSeCops. Enquanto em uma startup, é mais provável que uma pessoa do DevOps esteja fazendo o DevSecOps por padrão, pois pode não ter uma equipe de segurança. Ou, se o fizerem, é muito pequeno ou terceirizado”, diz Kyle.
Isso significa que é uma boa ideia manter a mente aberta e não limitar sua busca de emprego a títulos específicos, incluindo “DevSecops”. Em vez disso, digitalize as descrições do trabalho quanto às responsabilidades que abrangem o desenvolvimento, a segurança e as operações.
Algumas empresas podem não contratar profissionais da DevSecops, mas os engenheiros de confiabilidade do web site (SRES), que se concentram mais na engenharia de software program, mas também podem abranger segurança e operações.
Que habilidades você precisa trabalhar no DevSecops?
Enquanto um profissional de devsecops não gasta a codificação do dia inteiro, algum conhecimento de programação é elementary. Tarefas como automatizar processos de segurança e integrá -los em pipelines de CI/CD provavelmente deverão esperar de você.
Alguma exposição ao software program completo ciclo de vida de desenvolvimento e entrega é importante, incluindo:
Assim como nos papéis do DevOps, uma parte essencial das carreiras devsecops é a colaboração com outras funções, então trabalhando em seu Habilidades interpessoais Também ajudará a prepará -lo para entrar em funções de devsecops.
Pode ser intimidador acompanhar várias disciplinas, portanto, ser um aluno contínuo com um mentalidade de crescimento é um grande ativo.
Como se tornar um engenheiro de devsecops?
As posições de devsecops juniores e iniciantes tendem a ser difíceis de encontrar, porque o DevSecops requer experiência em duas disciplinas. “Uma das melhores maneiras do DevSecops é começar focando no DevOps ou na segurança”, diz Kyle.
Ao ganhar experiência em um e o upskilling no outro, você pode construir uma base forte para fazer a transição para o DevSecops, diz Kyle. Portanto, se você começar no DevOps, poderá treinar em segurança (ou vice -versa) fora do trabalho ou como parte do seu desenvolvimento profissional em andamento. “Depois de ter uma boa base, estará em posição de passar do DevOps ou da segurança para uma função de DevSecops”, diz ele.
Quer começar no DevOps? Em nosso curso gratuito Introdução ao DevOpsvocê aprenderá os princípios do DevOps, incluindo práticas importantes como CI/CD, Monitoramento e Containerização. Você entenderá as diferenças entre o DevOps e as operações tradicionais, bem como a importância da escalabilidade, observabilidade e resiliência nos modernos sistemas de software program.
Se você estiver mais interessado em segurança cibernética, considere nosso caminho de habilidade Fundamentos da segurança cibernética. Você aprenderá como os hackers obtêm acesso a sistemas, os perigos do ransomware e se indivíduos ou empresas estão em risco. Guiado pela certificação Safety+ da Comptia, você ganhará habilidades em técnicas de engenharia social, identificando ataques cibernéticos comuns e explorando estratégias de avaliação de segurança.
Quais são alguns conselhos para um engenheiro de devsecops?
Se seu objetivo é trabalhar no DevSecops, pense em sua experiência passada e habilidades transferíveis. “Talvez você tenha feito o desenvolvimento de software program, o que oferece um entendimento técnico”, diz Kyle. “Agora você pode fazer um curso no DevSecops para lhe dar mais profundidade e Upskill na disciplina. ” Recentemente, lançamos uma suíte de Novos cursos de devsecops gratuitos para ajudá -lo a completar seu entendimento.
O DevSecops pode ser um ótimo campo para os shifters de carreira, porque oferece uma oportunidade única de desenvolver sua experiência e habilidade anteriores. É aqui que escreve um ótimo carta de apresentação Pode entrar. “Você poderia dizer: ‘Eu estava trabalhando no DevOps, mas eu realmente queria desenvolver minha compreensão da segurança. Passei meu tempo pessoal em segurança na segurança, para que meu próximo papel pudesse combinar meu trabalho pessoal e profissional’ ‘, sugere Kyle. Confira essas dicas adicionais para Escrevendo um currículo para o DevOps ou segurança cibernética.
Kyle recomenda seguir as empresas no LinkedIn que contratam os tipos de funções em que você está interessado, bem como indivíduos que estão trabalhando no DevSecops. Você começará a ver o conteúdo que eles compartilham, o que pode destacar tópicos e áreas desconhecidos para um aprendizado adicional. (Aqui está alguma inspiração para ótimos A segurança cibernética segue).
Então, depois de usar upsking e estiver pronto para solicitar trabalhos de devsecops, você pode otimizar seu currículo e perfil do LinkedIn. Concentre -se em suas habilidades relevantes em vez dos papéis que você já ocupou, chamando a atenção para como ampliou seu conhecimento. Confira Este artigo para obter conselhos sobre como criar um perfil baseado em habilidades.
Pronto para começar a mergulhar no DevSecops? Visite nosso Catálogo do curso de segurança cibernética Para uma série de novos cursos de DevSecops gratuitos para começar.
