🔐 Aulão de DevSecOps · ToolBoX

DevSecOps

Segurança em Desenvolvimento e Operações — integrando práticas de segurança no coração do pipeline de software.

SEC
Evolution of Operations — Ops, DevOps, DevSecOps, DevSecMLOps, TriceratOps

Definição
O que é DevSecOps?

DevSecOps integra práticas de segurança de software em DevOps. O objetivo é assegurar a criação de software seguro, minimizando riscos e integrando segurança de forma contínua e eficiente.

⬅️
Segurança desde o início
Aplica análise de segurança e testes de vulnerabilidade automaticamente nos pipelines de CI/CD.
🤝
Colaboração
Une desenvolvedores, operadores e especialistas em segurança para abordar proativamente as ameaças.
⚙️
Automatização
Implementa políticas de segurança automáticas, melhorando a segurança e a conformidade.

Benefícios
Por que adotar DevSecOps?
🛡️
Menos Vulnerabilidades
Reduz o risco de vulnerabilidades de segurança no software detectando-as antes do deploy.
🚀
Entrega mais Rápida
Acelera a entrega de aplicações seguras sem o gargalo de revisões manuais de segurança.
📋
Conformidade
Melhora a conformidade com regulamentos de segurança como LGPD, PCI-DSS, ISO 27001.

Conceitos-Chave
Fundamentos de DevSecOps
Shift-Left Security
Tratar segurança desde as fases iniciais do desenvolvimento, não apenas no final.
Security as Code
Políticas e verificações de segurança codificadas e versionadas no repositório.
CI/CD Security Gates
Segurança incorporada no CI/CD e Fluxos de Entrega como portões automáticos.
Monitoramento Contínuo
Monitoramento contínuo de vulnerabilidades e riscos em runtime e infraestrutura.
Threat Modeling
Modelagem de ameaças e identificação pró-ativa de riscos antes de escrever código.
Secrets Management
Gerenciamento de segredos e proteção de credenciais com ferramentas como HashiCorp Vault.
Responsabilidade Compartilhada
Segurança como responsabilidade compartilhada entre Dev, Sec e Ops — não só do time de segurança.
Container Security
Escaneamento de imagens e runtime security para containers Docker e Kubernetes.
IaC Security
Escaneamento automatizado de configurações de infraestrutura como código (Terraform, Ansible).

Modelo Tradicional vs DevSecOps
Quando DevOps se torna DevSecOps?
🐢 Modelo Tradicional Gargalo
Fluxo: Dev → Test → Revisão Manual de Segurança → Ops
A segurança atua como um pedágio final, atrasando o lançamento
Time de segurança separado, cultura de silos
Vulnerabilidades descobertas tarde, custo de correção alto
VS
🚀 Modelo DevSecOps Contínuo
Fluxo: Dev → Sec → Test → Sec → Ops → Sec
A segurança é integrada desde o primeiro dia, garantindo um fluxo contínuo
Responsabilidade compartilhada entre todos os times
Vulnerabilidades detectadas cedo, custo de correção baixo
Modelo Tradicional vs Modelo DevSecOps — fluxo de segurança
Ciclo DevSecOps — Dev, Sec, Ops integrados

Ciclo DevSecOps
As fases do ciclo de segurança
🔍
Threat Modeling
Identificação de ameaças potenciais antes de começar a desenvolver.
🔎
Scan & Analyze
SAST, DAST, SCA automatizados no pipeline de CI/CD.
🔧
Remediate
Correção rápida de vulnerabilidades com priorização de risco.
📊
Monitor
Monitoramento contínuo em runtime para detecção de anomalias.
🗝️
Key Management
Gerenciamento de API keys, senhas e certificados de forma centralizada.
🐳
Container Security
Scan de imagens, runtime security e análise de vulnerabilidades em containers.
🧪 Análises de Segurança · DevSecOps

Tipos de Testes de Segurança

Conheça os principais tipos de análises e testes de segurança utilizados em pipelines DevSecOps modernos.

Tipos de Análise
SAST, DAST, IAST e mais
SAST
Static Application Security Testing
Análise Estática de Código-Fonte
White-box
Análise estática do código-fonte ou binários sem execução da aplicação, identificando vulnerabilidades ainda na fase de desenvolvimento. Detecta SQL Injection, XSS, buffer overflows e outros padrões inseguros diretamente no código.
SonarQube Checkmarx Semgrep CodeQL Fortify
DAST
Dynamic Application Security Testing
Teste Dinâmico com a Aplicação em Execução
Black-box
Testes realizados com a aplicação em execução, simulando ataques externos para identificar falhas de autenticação, configuração e exposição. Encontra vulnerabilidades que só aparecem em runtime.
OWASP ZAP Burp Suite Acunetix Rapid7
IAST
Interactive Application Security Testing
Análise Interativa em Tempo Real
Grey-box
Combina análise estática e dinâmica, monitorando a aplicação em tempo real durante testes para detectar vulnerabilidades com maior precisão. Agentes internos observam o comportamento da aplicação.
Contrast Security Seeker HCL AppScan
RASP
Runtime Application Self-Protection
Proteção Ativa em Produção
Runtime
Proteção ativa integrada à aplicação, capaz de monitorar e bloquear ataques em tempo real durante a execução em produção. A aplicação detecta e neutraliza ataques autonomamente.
Sqreen Dynatrace AppSec Contrast Protect
SCA
Software Composition Analysis
Análise de Dependências Open Source
Dependências
Análise de dependências e bibliotecas de terceiros para identificar CVEs conhecidos e riscos em componentes open source. Mapeia licenças e verifica o SBOM (Software Bill of Materials).
Snyk Dependabot OWASP Dependency-Check JFrog Xray
SIEM
Security Information and Event Management
Centralização de Logs e Eventos de Segurança
Monitoring
Centraliza e correlaciona logs e eventos de segurança para detecção de incidentes e resposta a ameaças. Fornece visibilidade em tempo real sobre o estado de segurança do ambiente.
Splunk LogRhythm IBM QRadar Microsoft Sentinel
Container
Scan
Container & Image Security
Análise de Imagens Docker e Runtime de Containers
Containers
Escaneamento de imagens de container antes e durante a execução para detectar vulnerabilidades, malware e configurações inseguras. Integra-se ao registry e ao pipeline de build.
Trivy Clair Anchore Falco Aqua Security

Quiz de Conhecimento
Teste seus conhecimentos
EDIÇÃO · SEGURANÇA EM DEVOPS
30
Pergunta da Rodada
Qual técnica de segurança analisa o código-fonte SEM executar a aplicação e é ideal para ser rodada a cada commit no pipeline CI/CD?
ADAST (Dynamic Application Security Testing)
BSAST (Static Application Security Testing)
CRASP (Runtime Application Self-Protection)
DSIEM (Security Information and Event Management)
🏆 Expert
SecOps Pro
DevSecOps
DevOps+Sec
🛡️ Básico
B — SAST é a resposta correta! O SAST analisa o código-fonte estaticamente, sem precisar executar a aplicação, sendo perfeito para integração no pipeline de CI/CD a cada push. Ferramentas como SonarQube e CodeQL executam essa análise em segundos.
🛠️ Ferramentas · DevSecOps

Automation Security Tools

Ferramentas de segurança organizadas por fase do pipeline — do código ao monitoramento em produção.

Pipeline de Segurança
Por fase do ciclo de entrega
💻 Code
GitLab
SonarQube
GitLeaks
Semgrep
🔨 Build
Dependency-Check
IQ Server
Snyk
IntelliSCA
🧪 Test
Clair
Anchore
Trivy
JFrog Xray
🔑 Secret
CyberArk Conjur
HashiCorp Vault
TruffleHog
GitLeaks
📦 Release
OpenVAS
OWASP ZAP
Checkov
tfsec
⚡ Runtime
Falco
Aqua Security
Sysdig
Prisma Cloud
📊 Monitor
Splunk
LogRhythm
Datadog
Wazuh

Ferramentas Comerciais
Multi-purpose Commercial

Plataformas completas que cobrem múltiplas fases do pipeline de segurança.

🔒 SAST / DAST / SCA Completo
🐺 Snyk
✅ Checkmarx
🔵 Synopsys
🔴 Rapid7
🟤 Acunetix
🟠 Micro Focus
🌐 Network & Cloud Security
🔥 Palo Alto Networks
🐾 Trend Micro
☁️ Prisma Cloud
🔵 Check Point
🐋 Aqua Security
🔍 Secret Detection & IaC
🐷 TruffleHog
🔎 GitLeaks
✔️ Checkov
🔑 HashiCorp Vault
🏦 CyberArk Conjur
🌿 tfsec
📊 SIEM & Monitoring
📈 Splunk
📊 LogRhythm
🐕 Datadog
🔵 IBM QRadar
🟣 Microsoft Sentinel
🐳 Container Security
🔍 Trivy
🐦 Clair
⚓ Anchore
🦅 Falco
🐙 Sysdig
🔬 Code Quality & Security
📻 SonarQube
🐙 GitHub Advanced Security
💡 CodeQL
🔵 GitLab SAST

Recursos Adicionais
Links úteis
🔬 Labs · DevSecOps na Prática

Exemplos Práticos

Cenários reais de segurança em pipelines CI/CD — como as ferramentas se encaixam no fluxo de entrega.

Lab Principal
Pipeline de Segurança Unificada

O professor demonstra como traduzir na prática o DevSecOps em uma esteira CI/CD executando testes e validações de segurança automatizados.

Lab 001
Pipeline de Segurança Unificada
Checkov + GitLeaks + TruffleHog + Trivy + Snyk + SonarQube
Principal
Pipeline CI/CD completo com múltiplas camadas de segurança executadas em sequência: IaC Security Scan, Secret Detection, Secret Hunter, Vulnerability Scanner, Dependency & Code Analysis e SAST Analysis.
GitHub Actions Python Docker IaC
📁 Ver labs no GitHub →
Lab 002
Pipelines de Segurança: Exemplo Básico
Anatomia de um pipeline de segurança do zero
Iniciante
Explorar um exemplo básico de pipeline com etapas de segurança integradas, entendendo como ferramentas de análise estática, verificação de dependências e escaneamento de imagens podem ser orquestradas em um fluxo de CI/CD.
GitHub Actions SAST Dependency Check Container Scan 30–45 min
📁 Ver lab-002 no GitHub →

Contato
Continue aprendendo