Seguindo um modelo de maturidade DevSecOps
Seguir um modelo de maturidade também ajuda a contar uma história que inclui as mudanças de pessoas, processos e tecnologia que acompanham uma transformação de DevOps em DevSecOps.
DevSecOps é, em muitos aspectos, outro nível de maturidade de DevOps para uma empresa. A gestão executiva e outras partes interessadas compreendem o conceito de modelo de maturidade, tornando-o uma forma útil de explicar o valor desta mudança. Seguir um modelo de maturidade também ajuda a contar uma história que inclui as mudanças de pessoas, processos e tecnologia que acompanham uma transformação de DevOps em DevSecOps.
Aqui estão quatro níveis típicos de maturidade DevSecOps:
Nível 1: pré-DevOps (sem automação)
Nesse nível, os desenvolvedores executam todas as tarefas manualmente, incluindo a criação e teste de aplicativos e sistemas. O gerenciamento de equipes, os processos e a segurança dos aplicativos ainda estão em um nível muito ad hoc.
Dê um passo a mais para capturar as lições aprendidas e os desafios da era de desenvolvimento pré-DevOps. Você precisa conhecer sua história, para não repeti-la no futuro.
Nível 2: DevOps/DevSecOps iniciais (automação leve)
As equipes de desenvolvimento padronizam alguma forma de conjunto de ferramentas DevOps para implementar infraestrutura como código e conformidade como código. A adoção do DevSecOps ocorre no departamento ou mesmo apenas no nível da equipe.
Mencionar DevOps e DevSecOps de forma intercambiável nesta fase é deliberado. Algumas organizações avançarão rapidamente do desenvolvimento tradicional em cascata diretamente para um modelo DevSecOps. No nível 2, DevOps/DevSecOps e automação leve são o domínio de equipes de desenvolvimento inovadoras e com visão de futuro. Os desenvolvedores são motivados a encontrar uma maneira melhor de fazer as coisas, seja por iniciativa própria ou porque um cliente está solicitando uma abordagem DevOps.
Passar do nível 2 ao nível 3 depende da comunicação e da venda dos sucessos dos primeiros adeptos do DevSecOps ao resto da sua organização. Certifique-se de manter contato com seus primeiros usuários e incentivá-los a compartilhar suas vitórias em DevOps e DevSecOps com o restante de seus colegas. As primeiras histórias de vitórias ressoam muito melhor do que os mandatos gerenciais.
Nível 3: transição de DevOps para DevSecOps (automação avançada)
O DevSecOps se transforma em uma estratégia corporativa ou de toda a agência. Com suporte de toda a organização, toma forma uma estratégia de automação para desenvolvimento e gerenciamento de aplicativos e infraestrutura. As equipes de DevOps agora podem melhorar seus processos existentes usando contêineres, Kubernetes (K8s) e serviços de nuvem pública.
Resumindo: as organizações nesta fase avançada de maturidade de DevSecOps estão implantando aplicações em escala.
Nível 4: DevSecOps completo (automação completa)
Esse estado especializado de maturidade de DevSecOps será difícil para todos, exceto para as empresas mais proeminentes e bem financiadas, aquelas que devem atender rotineiramente às mais rigorosas demandas de segurança cibernética e conformidade. Uma organização que atinge esse nível de maturidade é nativa da API e da nuvem primeiro. Essas organizações também estão implementando tecnologias emergentes, como microsserviços, serverless e inteligência artificial/aprendizado de máquina (AI/ML) para fortalecer o desenvolvimento de aplicativos e a segurança da infraestrutura.
Pensamentos finais
Somente quando você acompanha a maturidade de seus processos, cultura de equipe e ferramentas você obtém as melhores visualizações do estado atual e futuro do progresso de sua organização para DevSecOps. A pandemia empurrou muitas equipes para o trabalho remoto nos últimos 18 meses. Como resultado, as equipes tiveram que amadurecer seus processos e rapidamente para garantir que sua organização ainda pudesse entregar aos clientes. DevSecOps reúne as melhorias culturais, de colaboração e de conjunto de ferramentas que as equipes de desenvolvimento exigem para fornecer software seguro e compatível em seu novo mundo de trabalho.