Olá pessoal!
Não é segredo para ninguém quantos problemas são causados por falhas de segurança encontradas e exploradas em aplicações desenvolvidas nos mais variados nichos de mercado, de aplicativos de mensagem a sistemas bancários.
Assim, dizer que segurança é algo mais que essencial e deve ser preocupação de todos, principalmente quando o assunto é desenvolvimento de produtos de software, chega a ser “desnecessário”.
Porém esse cuidado nem sempre é levado em consideração de fato e quando é, não pode ficar apenas sob a responsabilidades das pessoas, uma vez que no dia a dia das entregas, equívocos podem acontecer seja em uma verificação manual em busca de vulnerabilidades, seja no próprio processo desenvolvimento, assim é necessário que busquemos alternativas para ajudar nas validações de segurança.
Ferramentas como o Microsoft Security for DevOps, que uma vez implementando durante o seu processo de CI/CD permitirá que uma série de vulnerabilidades possam ser identificadas já no momento em que o desenvolvedor está atualizando o repositório de código da sua aplicação, permitem que os riscos sejam identificados de forma antecipada, prevenindo assim que tais falhas cheguem ao usuário final.
Conhecendo o Microsoft Security for DevOps
O Microsoft Security for DevOps é uma ferramenta desenvolvida pela Microsoft que permite a análise estática de vulnerabilidades no código fonte da aplicação, ou seja, assim que o desenvolvedor envia a atualização do código desenvolvido para o repositório, o Microsoft Security for DevOps inicia uma varredura em busca de possíveis vulnerabilidades e caso elas existam um resumo delas é apresentando na própria pipeline.
Algo semelhante ao que podemos ver na imagem abaixo:
Esse resumo fica mais detalhado na guia Scans da execução da pipeline, onde é possível verificar item a item do que foi analisado, assim como vemos na imagem a seguir:
O que é analisado pelo Microsoft Security for DevOps?
O Microsoft Security for DevOps analisa desde possíveis falhas com senhas expostas em código até inconsistências na montagem de imagens docker por exemplo.
Tudo isso é feito a partir da execução de sete ferramentas, que são:
| Ferramenta | Tipo de análise realizada |
| Bandit | Verifica problemas de segurança comuns em código escrito em Python. |
| Binskim | Verifica configurações e características de dependências em busca de possíveis falhas de segurança. |
| ESlint | Verifica o código fonte escrito com base em linguagens JavaScript em busca de padrões de codificação que possam resultar em possíveis vulnerabilidades e falhas de segurança. |
| Credscan | Verifica o código fonte da aplicação em busca de senhas e credenciais expostas, como por exemplo usuário e senha exposto em strings de conexão com banco de dados. |
| Template Analyzer | Verifica os modelos ARM (Azure Resource Manager) e Bicep Infrastructure-as-Code (IaC) para garantir que as verificações de segurança e práticas recomendadas sejam seguidas antes da implantação de suas soluções Azure. |
| Terrascan | Verifica infraestrutura como código em busca de configurações incorretas, detectando vulnerabilidades de segurança e violações de conformidade. |
| Tirvy | Verifica problemas de segurança em imagens de containers, arquivos de sistema, repositórios Git, máquinas virtuais, além de ambientes AWS e Kubernetes em busca de vulnerabilidades, em pacotes do sistema operacional, licenças de software, dados sensíveis, além de vulnerabilidades CVEs e problemas em configuração de infraestrutura como código. |
Quais riscos o Microsoft Security for DevOps ajuda a mitigar ?
A partir das ferramentas listadas acima, o Microsoft Security for DevOps faz varreduras constantes em busca de falhas de segurança que possam comprometer o uso da sua aplicação, levando a algum tipo de exposição das informações dos seus usuários.
Falhas como senhas ou tokens de autenticação expostos no código fonte da aplicação, como podemos ver nos resultados apresentados na nossa aplicação de testes:
Onde através da análise do credscan, o Microsoft Security for DevOps detectou que há um token de autenticação do Azure DevOps exposto.
Uma vez que essa falha foi detectada, é traçado um plano de ação para correção, que começa por exemplo em instruir o desenvolvedor a não definir em código fonte, qualquer informação que possa ser utilizada para autenticação.
Concluindo
No momento em que é feita a opção da utilização de ferramentas como o Microsoft Security for DevOps, os riscos de segurança automaticamente diminuem, uma vez que ao serem identificados, as medidas necessárias são imediatamente tomadas, já pelo próprio time de desenvolvimento que sabendo de uma eventual vulnerabilidade vai trabalhar nela de forma preventiva, não permitindo que a mesma chegue ao usuário final.
Trazendo mais qualidade, segurança e confiabilidade para as aplicações e compartilhando a responsabilidade das preocupações correlacionadas a possíveis falhas e vulnerabilidades com os times de segurança.
Ficou interessado ?
O Microsoft Security for DevOps é uma ferramenta que está disponível para Azure DevOps e GitHub, e que associada ao Microsoft Defender for DevOps vai permitir que as possíveis falhas e vulnerabilidades encontradas sejam publicadas e monitoradas em dashboards no Azure.
Mas esse é assunto para nossas próximas postagens!
Abraço, e até a próxima!!!
Se você deseja implementar o Microsoft Defender for DevOps em suas aplicações, clique aqui
Israel Lucania
Posts Relacionados
