Segurança de aplicações
DevSecOps
Também conhecido como: SecDevOps, Rugged DevOps
Definição
Cultura e conjunto de práticas que integra responsabilidades de segurança aos fluxos DevOps para entregar software seguro de forma contínua e ágil.
Exemplos
- Executar Trivy, Semgrep e Gitleaks em cada pull request em um pipeline do GitHub Actions.
- Aplicar policy-as-code com OPA/Conftest sobre planos do Terraform antes da aplicação.
Termos relacionados
Segurança de aplicações (AppSec)
Disciplina que projeta, constrói, testa e opera software para que resista a abusos, adulteração e acessos não autorizados ao longo de todo o seu ciclo de vida.
Ciclo de vida seguro de desenvolvimento (SSDLC)
Ciclo de desenvolvimento em que as atividades de segurança são incorporadas em cada fase, dos requisitos e design ao código, testes, release e operação.
Shift-Left Security
Prática de antecipar as atividades de segurança no ciclo de vida do software para encontrar e corrigir vulnerabilidades antes que o código chegue à produção.
SAST (Static Application Security Testing)
Análise automatizada de código-fonte, bytecode ou binários — sem executar — para encontrar fraquezas de segurança como injeção, APIs inseguras ou criptografia fraca.
SCA (Software Composition Analysis)
Análise automatizada dos componentes open source e de terceiros da aplicação para identificar vulnerabilidades conhecidas, problemas de licença e dependências desatualizadas ou arriscadas.
Secure Coding
Secure Coding — definition coming soon.