Skip to content
Latchkey

O que é Shift-Left Security?

Shift-left security aplica a filosofia de shift-left à segurança, incorporando verificações e considerações de segurança cedo no processo de desenvolvimento em vez de acrescentá-las no fim.

Tradicionalmente, a revisão de segurança acontecia tarde - um portão perto do release, conduzido por uma equipe separada. Shift-left security move essas preocupações para o fluxo de trabalho diário do desenvolvedor, de modo que vulnerabilidades sejam capturadas à medida que o código é escrito, em vez de descobertas pouco antes de, ou depois de, um release.

O modelo antigo e seus problemas

Quando a segurança é um portão de estágio tardio, as vulnerabilidades são encontradas de forma cara perto do release, criando atrito de última hora entre as equipes de segurança e de entrega. Correções nesse ponto são apressadas e custosas, e a dinâmica adversarial de uma aprovação final de segurança atrasa todo mundo.

Como é mover a segurança para a esquerda

Shift-left security integra a segurança ao pipeline e ao editor. Os desenvolvedores recebem feedback rápido sobre vulnerabilidades enquanto codificam e em cada mudança, tratando os achados de segurança como qualquer outra falha de teste - algo a corrigir agora, no contexto, em vez de uma surpresa levantada semanas depois.

O que é verificado cedo

  • Análise estática (SAST) em busca de padrões de código inseguros.
  • Scanning de dependências e de composição de software em busca de bibliotecas vulneráveis.
  • Detecção de secrets para capturar credenciais commitadas.
  • Scanning de infraestrutura como código em busca de configurações incorretas.

Feedback rápido e com pouco ruído

Como em todo shift-left, a velocidade e a qualidade do sinal são críticas. Os scans de segurança precisam rodar rapidamente no CI e produzir resultados precisos e acionáveis. Um scanner que é lento ou que inunda os desenvolvedores com falsos positivos é ignorado ou desativado, frustrando o propósito de movê-lo para mais cedo.

Parte do DevSecOps

Shift-left security é uma prática central dentro do movimento mais amplo de DevSecOps, que torna a segurança uma responsabilidade compartilhada por todo o ciclo de vida de entrega. Mover as verificações para a esquerda é como essa filosofia se concretiza no dia a dia do pipeline, em vez de um princípio que vive apenas em documentos de política.

Principais conclusões

  • Shift-left security incorpora verificações de segurança cedo, no fluxo de trabalho do desenvolvedor.
  • Ele captura vulnerabilidades à medida que o código é escrito, não em um portão de release tardio.
  • Ele depende de scanning rápido e preciso e é central para o DevSecOps.

Guias relacionados