Open in app

Sign in

Write

Sign in

Você sabe a diferença entre AppSec e DevSecOps?

Michelle Mesquita
3 min readJul 22, 2024

--

Olá, pessoal

Tudo bem? 😊

Hoje, resolvi trazer esse tema e explicar a diferença entre DevSecOps e AppSec (Application Security). Entendo que esse tema pode se tornar confuso ou ambíguo, as vezes. Isso ocorre pelo mercado abordar esses temas como se fossem sinônimos. No entanto, esses termos não possuem o mesmo significado e irei explicar aqui essa diferença. Vamos lá!

AppSec

AppSec é conhecido como Segurança de Aplicações. O que seria isso?

Quando falamos em desenvolvimento seguro, AppSec tende a cuidar de todas as fases do ciclo de uma aplicação. Isso pode ser visto conforme imagem abaixo.

AppSec ocorre na criação de políticas de desenvolvimento seguro ou assessment de maturidade com OWASP SAMM, na análise de requisitos (requisitos de segurança como controle de acesso, autenticação, autorização, complexidade de senhas..), design da aplicação (utilizando Modelagem de Ameaças — Threat Model — para encontrar as possíveis vulnerabilidades na arquitetura da app), no desenvolvimento do código seguro (com ferramentas de segurança como as que realizam SAST — Snyk, Veracode, Checkmarx — , SCA ou DAST) ou na fase anterior ao deploy (com pentest, security hardening para atualizar patch ou configurar portas.

Além de assessment para determinar que esses que todas as configurações e implementações de políticas de desenvolvimento seguro) foram implementadas antes de levar o código para produção.

Dessa maneira, entendemos que AppSec é todo o processo de segurança do software (e muitos lugares chamam o profissional de AppSec como Secure Product Engineer, por justamente o produto ser a aplicação).

DevSecOps

Entendemos que DevSecOps está muito além de um conceito, metodologia ou profissionais que utilizam a cultura DevOps para trazer mais qualidade e segurança para o código/aplicação. Isso vai desde a implementação de conceitos como CI/CD, adição de regras e ferramentas de seguranças implementadas na esteira (pipeline). Além disso, DevSecOps facilita e promove a cultura de desenvolvimento seguro com os desenvolvedores. Como consequência dessa prática, temos a implementação de programa de Security Champions e análise segura de códigos.

Assim, entendemos que DevSecOps faz parte do conceito de AppSec. Quando falamos das etapas do ciclo do software, podemos fazer isso de forma manual ou automatizada (através de pipeline). Ao utilizarmos a automação e configurarmos regras, controles, ferramentas de segurança, estamos nos referindo a atividade de DevSecOps. Portanto, quando falamos de automação e pipeline → DevSecOps

Quando nos referimos a qualquer atividade de segurança que envolvem o desenvolvimento e a manutenção da aplicação, estamos falamos de Application Security.

Atividades principais de AppSec:

  • DevSecOps
  • Análise de secure code review
  • Threat Model
  • Desenvolvimento de política de desenvolvimento seguro
  • Assessment de desenvolvimento seguro (ex: OWASP SAMM)
  • Análise de falsos positivos/vulnerabilidades (testar ferramenta de DAST com Postman ou Burp Suite, por exemplo)
  • Programa de Security Champion (disseminar/promover AppSec para os desenvolvedores e times em geral)
  • Desenvolvimento de ferramentas para time de AppSec

Espero que tenha ficado mais claro 👩‍💻

--

--

Michelle Mesquita

Written by Michelle Mesquita

203 Followers

DevSecOps & AppSec Engineer & Developer girl 👩‍💻

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams