Segurança em Desenvolvimento e Operações — integrando práticas de segurança no coração do pipeline de software.
Definição
O que é DevSecOps?
DevSecOps integra práticas de segurança de software em DevOps. O objetivo é assegurar a criação de software seguro, minimizando riscos e integrando segurança de forma contínua e eficiente.
⬅️
Segurança desde o início
Aplica análise de segurança e testes de vulnerabilidade automaticamente nos pipelines de CI/CD.
🤝
Colaboração
Une desenvolvedores, operadores e especialistas em segurança para abordar proativamente as ameaças.
⚙️
Automatização
Implementa políticas de segurança automáticas, melhorando a segurança e a conformidade.
Benefícios
Por que adotar DevSecOps?
🛡️
Menos Vulnerabilidades
Reduz o risco de vulnerabilidades de segurança no software detectando-as antes do deploy.
🚀
Entrega mais Rápida
Acelera a entrega de aplicações seguras sem o gargalo de revisões manuais de segurança.
📋
Conformidade
Melhora a conformidade com regulamentos de segurança como LGPD, PCI-DSS, ISO 27001.
Conceitos-Chave
Fundamentos de DevSecOps
Shift-Left Security
Tratar segurança desde as fases iniciais do desenvolvimento, não apenas no final.
Security as Code
Políticas e verificações de segurança codificadas e versionadas no repositório.
CI/CD Security Gates
Segurança incorporada no CI/CD e Fluxos de Entrega como portões automáticos.
Monitoramento Contínuo
Monitoramento contínuo de vulnerabilidades e riscos em runtime e infraestrutura.
Threat Modeling
Modelagem de ameaças e identificação pró-ativa de riscos antes de escrever código.
Secrets Management
Gerenciamento de segredos e proteção de credenciais com ferramentas como HashiCorp Vault.
Responsabilidade Compartilhada
Segurança como responsabilidade compartilhada entre Dev, Sec e Ops — não só do time de segurança.
Container Security
Escaneamento de imagens e runtime security para containers Docker e Kubernetes.
IaC Security
Escaneamento automatizado de configurações de infraestrutura como código (Terraform, Ansible).
Modelo Tradicional vs DevSecOps
Quando DevOps se torna DevSecOps?
🐢
Modelo Tradicional
Gargalo
Fluxo: Dev → Test → Revisão Manual de Segurança → Ops
A segurança atua como um pedágio final, atrasando o lançamento
Time de segurança separado, cultura de silos
Vulnerabilidades descobertas tarde, custo de correção alto
VS
🚀
Modelo DevSecOps
Contínuo
Fluxo: Dev → Sec → Test → Sec → Ops → Sec
A segurança é integrada desde o primeiro dia, garantindo um fluxo contínuo
Responsabilidade compartilhada entre todos os times
Vulnerabilidades detectadas cedo, custo de correção baixo
Ciclo DevSecOps
As fases do ciclo de segurança
🔍
Threat Modeling
Identificação de ameaças potenciais antes de começar a desenvolver.
🔎
Scan & Analyze
SAST, DAST, SCA automatizados no pipeline de CI/CD.
🔧
Remediate
Correção rápida de vulnerabilidades com priorização de risco.
📊
Monitor
Monitoramento contínuo em runtime para detecção de anomalias.
🗝️
Key Management
Gerenciamento de API keys, senhas e certificados de forma centralizada.
🐳
Container Security
Scan de imagens, runtime security e análise de vulnerabilidades em containers.
🧪 Análises de Segurança · DevSecOps
Tipos de Testes de Segurança
Conheça os principais tipos de análises e testes de segurança utilizados em pipelines DevSecOps modernos.
Tipos de Análise
SAST, DAST, IAST e mais
SAST
Static Application Security Testing
Análise Estática de Código-Fonte
White-box
Análise estática do código-fonte ou binários sem execução da aplicação, identificando vulnerabilidades ainda na fase de desenvolvimento. Detecta SQL Injection, XSS, buffer overflows e outros padrões inseguros diretamente no código.
SonarQubeCheckmarxSemgrepCodeQLFortify
DAST
Dynamic Application Security Testing
Teste Dinâmico com a Aplicação em Execução
Black-box
Testes realizados com a aplicação em execução, simulando ataques externos para identificar falhas de autenticação, configuração e exposição. Encontra vulnerabilidades que só aparecem em runtime.
OWASP ZAPBurp SuiteAcunetixRapid7
IAST
Interactive Application Security Testing
Análise Interativa em Tempo Real
Grey-box
Combina análise estática e dinâmica, monitorando a aplicação em tempo real durante testes para detectar vulnerabilidades com maior precisão. Agentes internos observam o comportamento da aplicação.
Contrast SecuritySeekerHCL AppScan
RASP
Runtime Application Self-Protection
Proteção Ativa em Produção
Runtime
Proteção ativa integrada à aplicação, capaz de monitorar e bloquear ataques em tempo real durante a execução em produção. A aplicação detecta e neutraliza ataques autonomamente.
SqreenDynatrace AppSecContrast Protect
SCA
Software Composition Analysis
Análise de Dependências Open Source
Dependências
Análise de dependências e bibliotecas de terceiros para identificar CVEs conhecidos e riscos em componentes open source. Mapeia licenças e verifica o SBOM (Software Bill of Materials).
SnykDependabotOWASP Dependency-CheckJFrog Xray
SIEM
Security Information and Event Management
Centralização de Logs e Eventos de Segurança
Monitoring
Centraliza e correlaciona logs e eventos de segurança para detecção de incidentes e resposta a ameaças. Fornece visibilidade em tempo real sobre o estado de segurança do ambiente.
SplunkLogRhythmIBM QRadarMicrosoft Sentinel
Container Scan
Container & Image Security
Análise de Imagens Docker e Runtime de Containers
Containers
Escaneamento de imagens de container antes e durante a execução para detectar vulnerabilidades, malware e configurações inseguras. Integra-se ao registry e ao pipeline de build.
TrivyClairAnchoreFalcoAqua Security
Quiz de Conhecimento
Teste seus conhecimentos
🔐DevSecOps Quiz
EDIÇÃO · SEGURANÇA EM DEVOPS
30
Pergunta da Rodada
Qual técnica de segurança analisa o código-fonte SEM executar a aplicação e é ideal para ser rodada a cada commit no pipeline CI/CD?
ADAST (Dynamic Application Security Testing)
BSAST (Static Application Security Testing)
CRASP (Runtime Application Self-Protection)
DSIEM (Security Information and Event Management)
🏆 Expert
SecOps Pro
DevSecOps
DevOps+Sec
🛡️ Básico
✅ B — SAST é a resposta correta! O SAST analisa o código-fonte estaticamente, sem precisar executar a aplicação, sendo perfeito para integração no pipeline de CI/CD a cada push. Ferramentas como SonarQube e CodeQL executam essa análise em segundos.
🛠️ Ferramentas · DevSecOps
Automation Security Tools
Ferramentas de segurança organizadas por fase do pipeline — do código ao monitoramento em produção.
Pipeline de Segurança
Por fase do ciclo de entrega
💻 Code
GitLab
SonarQube
GitLeaks
Semgrep
→
🔨 Build
Dependency-Check
IQ Server
Snyk
IntelliSCA
→
🧪 Test
Clair
Anchore
Trivy
JFrog Xray
→
🔑 Secret
CyberArk Conjur
HashiCorp Vault
TruffleHog
GitLeaks
→
📦 Release
OpenVAS
OWASP ZAP
Checkov
tfsec
→
⚡ Runtime
Falco
Aqua Security
Sysdig
Prisma Cloud
→
📊 Monitor
Splunk
LogRhythm
Datadog
Wazuh
Ferramentas Comerciais
Multi-purpose Commercial
Plataformas completas que cobrem múltiplas fases do pipeline de segurança.
Explorar um exemplo básico de pipeline com etapas de segurança integradas, entendendo como ferramentas de análise estática, verificação de dependências e escaneamento de imagens podem ser orquestradas em um fluxo de CI/CD.
GitHub ActionsSASTDependency CheckContainer Scan30–45 min