Agora, mundo: o governo dos Estados Unidos finalmente descobriu o que é o DevSecOps e se tornou um evangelista tardio dessa prática de desenvolvimento de software com segurança como padrão. O National Institute of Standards and Technology (NIST) e uma coalizão que inclui seu próprio Centro Nacional de Excelência em Segurança Cibernética, além de parceiros do setor privado, uniram-se para lançar um marco draft na quarta-feira passada, com o objetivo de fazer com que organizações públicas e privadas implementem essa prática.
O documento, uma visão geral de alto nível do que o NIST pretende alcançar, parece em partes um panfleto evangélico do DevSecOps e, em outras, simplesmente culpa as pessoas por não adotarem melhor o Quadro Nacional de Desenvolvimento de Software Seguro (SSDF) do NIST. Isso não é um novo problema, já que a Office of Management and Budget já adiou uma vez o prazo de certificação SSDF durante a administração de Biden.
Para aqueles que não estão familiarizados com DevSecOps, basta pensar no modelo padrão do DevOps, mas em vez de apenas integrar as equipes de desenvolvedores e operações, a segurança é parte do processo desde o início. O resultado final, pelo menos teoricamente, é um produto de software que inclui recursos de segurança necessários desde o começo, e não como algo após.
Para complementar uma abordagem DevSecOps, está o SSDF do NIST, que define uma série de melhores práticas para desenvolvimento seguro de software. O NIST até mesmo menciona em sua página sobre SSDF que ilustrar como aplicar o SSDF ao DevSecOps é um projeto planejado e, baseando-se no anúncio de quarta-feira, parece que esse projeto já está em andamento.
O NIST declarou que a coalizão busca "desenvolver diretrizes que demonstrem a implementação de melhores práticas com base no SSDF do NIST" e está recorrendo ao setor privado para obter ideias sobre como conectar essas práticas com o DevSecOps. Dezesseis fornecedores estão colaborando com o NIST nesse projeto, incluindo Google, Microsoft, Dell e GitLab.
"O SSDF olha para a construção de software de forma holística, ajudando organizações a entenderem o que precisa ser feito para tornar seu ambiente de desenvolvimento mais seguro", disse Alper Kerman, engenheiro de segurança cibernética no grupo e um dos autores da publicação, em um comunicado à imprensa do Instituto.
Kerman resumiu o objetivo trípartite do projeto da coalizão com bastante clareza na declaração. Uma grande parte do que o NIST está fazendo com essas diretrizes draft é descobrir como simplificar boas práticas de design de software em conjunto com DevSecOps, além de elementos como softwares prontos para uso e novas habilidades de IA, bem como princípios de design zero-trust.
A ideia é ajudar as empresas a construir ambientes de desenvolvimento de software onde as pessoas possam trabalhar com segurança. Isso inclui controlar o acesso tanto quanto garantir que tudo que entra no ambiente seja escrito de forma segura para eliminar os riscos de vulnerabilidades na cadeia de suprimentos de software.
O NIST vê um grande papel da IA nesse projeto, naturalmente, mas não sem supervisão. "O uso de tecnologia de IA no desenvolvimento de software não só melhora a eficiência do trabalho, como também pode levar a软件 de maior qualidade em um prazo mais curto", afirma o marco draft de DevSecOps. "As equipes de desenvolvimento de software ainda precisam garantir que o conteúdo gerado pela IA seja monitorado e validado por uma pessoa e que processos verificáveis estejam em vigor para garantir sua准确idade e confiabilidade."
Definir um uso responsável de ferramentas de IA no DevSecOps é uma parte importante do projeto, conforme mencionado. O segurity zero-trust também desempenhará um papel significativo, com o NIST destacando que o projeto explorará como melhor incorporar práticas zero-trust em todo o processo e ambiente de desenvolvimento, com a esperança de que isso não se torne um ponto de fricção massivo para desenvolvedores já ocupados.
Um workshop sobre o projeto será realizado em 27 de agosto para coletar反馈. O NIST usará o que aprender na reunião para construir um esboço mais completo, com planos para atualizá-lo com base no feedback ao longo do projeto, sem data de término especificada.
Buscamos contato com o NIST para saber mais sobre o projeto, mas eles não puderam compartilhar mais informações antes da publicação. ®
