Huberto Gastal Mayer

Do Commit ao Deploy Em Grandes Empresas – Parte 7: Segurança (DevSecOps)

Do Commit ao Deploy Em Grandes Empresas – Parte 7: Segurança (DevSecOps)

🛡️ Blindando o Pipeline: Por que atacantes modernos não atacam seu firewall, atacam seu package.json

Nos seis artigos anteriores, construímos uma máquina de entrega de software rápida e observável. Mas há um problema: se essa máquina entregar código vulnerável mais rápido, estamos apenas acelerando o desastre.

Tradicionalmente, a Segurança era uma etapa final, feita por um time isolado que fazia checklist em algum perfil do CIS Controls e OWASP, rodava um “pentest” uma semana antes do lançamento e bloqueava tudo. O resultado? Atrito entre times e “jeitinhos” para burlar a segurança e cumprir o prazo.

Em grandes empresas ou projetos, isso não funciona. É adotado o DevSecOps.

A ideia central é o “Shift Left” (Mover para a Esquerda). Imagine a linha do tempo do desenvolvimento, do design à esquerda até a produção à direita. “Shift Left” significa mover as verificações de segurança para o mais cedo possível no processo — idealmente, na máquina do desenvolvedor ou no primeiro estágio do CI.

Segurança deixa de ser um gargalo e vira um requisito de qualidade contínuo, tão importante quanto passar nos testes unitários.

1. Supply Chain Security: O Cavalo de Troia Moderno

Hoje, estima-se que 80% a 90% do código de uma aplicação moderna não foi escrito pelo seu time. Ele vem de bibliotecas open-source (npm, pip, maven, nuget, composer).

Atacantes perceberam que é difícil invadir o servidor da sua empresa, mas é fácil invadir a conta de um mantenedor de uma biblioteca obscura que você usa, injetar um malware lá e esperar você fazer o próximo npm install.

A Defesa: SCA (Software Composition Analysis) Ferramentas de SCA (como Snyk, Dependabot, OWASP Dependency-Check) analisam seu arquivo de dependências (package.json, requirements.txt, composer.json) e cruzam com bancos de dados de vulnerabilidades conhecidas (CVEs).

Seu pipeline de CI deve quebrar imediatamente se alguém tentar commitar um código que puxe uma biblioteca com uma vulnerabilidade crítica conhecida.

2. Varredura Automatizada: Os Robôs Guardiões

Não dá para esperar um humano revisar cada linha de código procurando falhas de segurança. Automatizamos isso no CI (Artigo 2):

  • SAST (Static Application Security Testing): Analisa o código-fonte sem executar. É como um linter superpoderoso que procura padrões perigosos, como concatenação de strings em queries SQL (risco de SQL Injection) ou uso de funções de criptografia fracas.
  • DAST (Dynamic Application Security Testing): Ataca a aplicação em execução (geralmente no ambiente de staging). Ele tenta simular um atacante externo, bombardeando inputs com dados maliciosos para ver se a aplicação quebra.
  • Container Scanning: Lembra do Docker (Artigo 3)? A imagem base que você usa (ex: node:14-alpine) pode ter vulnerabilidades no sistema operacional. Ferramentas como Trivy ou Clair escaneiam as camadas da imagem Docker antes do deploy e bloqueiam imagens inseguras.

3. Gestão de Segredos: O Pecado Capital do Git

Se eu abrir o repositório privado da sua empresa agora, quantas chaves de API da AWS, senhas de banco de dados e tokens de serviço eu vou encontrar “hardcoded” no código ou num arquivo .env commitado por engano?

A regra é clara: Segredo não entra no Git. O Git tem memória eterna; apagar o commit não resolve.

A Solução: Cofres Digitais (Vaults) Usamos ferramentas como HashiCorp Vault, AWS e GCP Secrets Manager ou Azure Key Vault.

  1. O segredo fica guardado e criptografado dentro do cofre.
  2. A aplicação não sabe a senha. Ela sabe onde buscar a senha.
  3. Durante o boot (ou em tempo de execução), o container se autentica no cofre e pede a credencial, que é injetada diretamente na memória do processo. Ela nunca toca o disco e nunca aparece no código.

4. Padrões de Mercado: Não Reinvente a Roda

Segurança é complexa. Não tente criar suas próprias regras de segurança do zero.

Para Aplicações (Dev): Siga o OWASP Top 10. É a bíblia da segurança web. Ele lista os 10 riscos mais críticos (Injeção, Quebra de Autenticação, Exposição de Dados Sensíveis, etc.). Veja mais em https://owasp.org/Top10/2025/

Para Infraestrutura (Ops): Siga os CIS Controls. São guias detalhados de como “endurecer” (harden) sistemas. Existem benchmarks CIS para Kubernetes, para AWS, para Linux, etc., que dizem exatamente quais configurações ativar e desativar para ter um ambiente seguro. Veja mais e faça o download em https://www.cisecurity.org/controls/v8-1

Abaixo apresento um gráfico que separa os perfis por cores, de acordo com o tamanho da empresa e dos times (clique para expandir):

CIS Controsl e perfis coloridos

🏁 Resumo da Etapa

Segurança não é uma etapa final, é uma mentalidade contínua. Aprendemos que o maior risco hoje vem das dependências que baixamos (Supply Chain), que devemos automatizar varreduras no CI (SAST/DAST), que commitar senhas no Git é amadorismo (Vaults) e que devemos seguir padrões globais (OWASP/CIS).

Em DevSecOps, se o pipeline está vermelho por causa de uma falha de segurança, é tão grave quanto se estivesse vermelho por um erro de compilação. O deploy não ocorre.

Huberto Gastal Mayer

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *