Com a recente descoberta de várias vulnerabilidades graves em pacotes de desenvolvimento comuns, a segurança do desenvolvimento de aplicativos está se tornando cada vez mais importante para muitos executivos de TI. Eventos como a descoberta de vulnerabilidades no Log4j, bem como em outros vulnerabilidades significativas que foram identificadas desde entãoA crise do SAP, que se tornou um problema para as empresas, forçou as organizações a darem uma olhada longa e dura na forma como conduzem o desenvolvimento de aplicativos para melhorar sua mentalidade e cultura e, por fim, automatizar uma abordagem "DevSecOps" para o gerenciamento de mudanças no SAP.

DevSecOps é um termo relativamente novo no mundo SAP e significa desenvolvimento, segurança e operações. No passado, a segurança era aplicada por uma equipe isolada, pouco antes de ser lançada na produção. Essa abordagem desatualizada é problemática, especialmente para as organizações que desejam adotar uma abordagem ágil para gerenciar seu ambiente SAP.

A metodologia atual de "shift left" enfatiza a importância de identificar possíveis problemas o mais cedo possível no ciclo de desenvolvimento, para que possam ser corrigidos antes de avançar mais. Foi a partir dessa abordagem que nasceu a visão do DevSecOps.

O DevSecOps enfatiza a necessidade de incluir a segurança desde o início como parte integrante de todo o ciclo de vida do desenvolvimento. Isso requer a integração das ferramentas de segurança corretas ao fluxo de trabalho de desenvolvimento e, em seguida, a automatização do processo para garantir que o desenvolvimento não fique lento.

Adoção de uma abordagem DevSecOps

Uma maneira de começar a adotar uma abordagem DevSecOps é investir nas melhores soluções de gerenciamento de mudanças e conformidade de segurança para aumentar seus ambientes de desenvolvimento existentes.

Primeiro, é altamente recomendável que você implemente uma ferramenta de gerenciamento de mudanças que crie um processo de fluxo de trabalho aplicável. Ela deve ser capaz de gerenciar todas as alterações desde a sua criação no desenvolvimento, passando pelo complexo processo de segurança e teste, até a liberação final segura para a produção.

Em seguida, suas equipes precisam de uma ferramenta de análise de código automatizada que possa analisar profundamente o código SAP em busca de problemas que afetem a segurança, a conformidade, o desempenho, a robustez, a capacidade de manutenção e até mesmo a perda de dados.

As práticas recomendadas determinam que essas soluções devem ser integradas de forma significativa para otimizar sua utilidade e eficácia e, ao mesmo tempo, incentivar a adoção por suas equipes. Ao criar uma solução DevSecOps perfeita, suas equipes podem incorporar a segurança inconscientemente à própria estrutura do processo de desenvolvimento.

O que acontece quando você integra essas tecnologias em seus processos de desenvolvimento?

  • A segurança é automaticamente incorporada ao seu processo de gerenciamento de mudanças.
  • As verificações de segurança são acionadas em vários pontos do ciclo de desenvolvimento para garantir que as vulnerabilidades e os problemas de código sejam detectados (e corrigidos) o mais cedo possível.
  • O código não compatível é impedido de progredir no cenário.
  • O processo de gerenciamento de mudanças é simplificado, pois a ferramenta certa é acionada automaticamente no momento certo.
  • O CAB e os gerentes de produto podem assinar com confiança as versões de produção, sabendo que as alterações passaram por um rigoroso processo de triagem de segurança.

A solução Rev-Trac / Onapsis

A Rev-Trac formou recentemente um parceria estratégica com a Onapsis, o parceiro escolhido pela SAP para segurança cibernética, para oferecer ao mercado uma solução SAP DevSecOps integrada e de primeira linha. Essa integração de hand-off com os principais produtos da Onapsis, Control for Code e Control for Transports, utiliza uma abordagem de "shift left" para identificar vulnerabilidades de segurança e problemas de código antes que os transportes sejam liberados do sistema de desenvolvimento.

Como parte do fluxo de trabalho de desenvolvimento, o Rev-Trac passará automaticamente objetos e transportes para o Onapsis Control para análise profunda e, em seguida, aguardará um resultado. Se o resultado for positivo, o Rev-Trac continuará com seu fluxo de trabalho. No entanto, se o resultado for negativo, os transportes serão impedidos de progredir até que os desenvolvedores tenham corrigido os problemas.

Para as equipes SAP que adotam essa solução integrada, as vantagens são inúmeras e incluem:

  • As vulnerabilidades de segurança são detectadas automaticamente no desenvolvimento, muito antes de poderem causar danos no sistema de produção;
  • Relatórios de segurança instantâneos significam uma rápida resolução de problemas no desenvolvimento;
  • Agora, a agilidade e a segurança andam de mãos dadas na entrega de mudanças no SAP;
  • O CAB tem a tranquilidade de saber que todo o código foi examinado quanto a vulnerabilidades de segurança; e
  • O ROI de todo o conjunto de ferramentas de desenvolvimento é maximizado graças aos recursos de fluxo de trabalho aplicáveis e personalizáveis do Rev-Trac.

 

Mais sobre a Onapsis

Onapsis A Onapsis Inc. protege os aplicativos essenciais aos negócios que movimentam a economia global. A oferta de segurança cibernética da empresa, The Onapsis Platform, oferece de forma exclusiva gerenciamento de vulnerabilidades, detecção e resposta a ameaças, testes de segurança de aplicativos e conformidade contínua para aplicativos essenciais aos negócios dos principais fornecedores, como SAP, Oracle e outras plataformas SaaS.

Sua tecnologia é alimentada pela inteligência contra ameaças e insights do Onapsis Research Labs, a equipe responsável pela descoberta e mitigação de mais de 800 vulnerabilidades de dia zero em aplicativos essenciais aos negócios.