Para resolver essa questão, vamos entender o tema central abordado: DevSecOps. Esse conceito é uma extensão da prática de DevOps, que integra a segurança (daí o "Sec") ao longo do ciclo de vida de desenvolvimento de software, desde a concepção até a operação.

No enunciado, fala-se sobre a fase de compilação e a colaboração entre desenvolvedores, operadores de aplicativos e equipes de operadores de cluster para estabelecer controles de segurança nos pipelines de implantação contínua (CD). Isso nos leva a analisar a estrutura do DevSecOps e entender que a ênfase na segurança não está restrita à fase de compilação.

A prática de DevSecOps visa integrar a segurança em todas as fases do ciclo de vida do desenvolvimento, não apenas na compilação. Isso significa que a segurança deve ser considerada desde a fase de planejamento, passando pelo desenvolvimento, teste, implantação e manutenção.

Justificativa para a resposta correta: E (errado)

A alternativa é considerada ERRADA porque a descrição no enunciado dá a entender que a segurança é estabelecida apenas durante a fase de compilação, o que está incorreto. No paradigma DevSecOps, a segurança deve ser uma preocupação contínua e integrada em todas as fases do ciclo de vida, não apenas durante a compilação ou em qualquer fase isolada.

Além disso, a segurança nos pipelines de CD é de fato importante, mas a responsabilidade não recai apenas sobre uma única fase ou grupo; é uma responsabilidade compartilhada ao longo de todo o processo, o que não é refletido na declaração dada.

Gostou do comentário? Deixe sua avaliação aqui embaixo!

errado.

Na fase de compilação do ciclo de vida do DevSecOps, o foco está na análise de segurança do código, na verificação de dependências e na detecção de vulnerabilidades antes da aplicação ser empacotada e implantada.

A responsabilidade por estabelecer controles de segurança nos pipelines de implantação contínua (CD) geralmente ocorre nas fases de integração e entrega contínuas (CI/CD), e não diretamente na fase de compilação. Durante a fase de compilação, ferramentas como SAST (Static Application Security Testing) são utilizadas para garantir que o código seja seguro antes de ser empacotado.

Já o estabelecimento de controles de segurança para os pipelines de CD é uma atividade que ocorre posteriormente, durante as fases de deploy e monitoramento, envolvendo práticas como verificação de imagens de contêiner, escaneamento de infraestrutura como código (IaC) e monitoramento contínuo.

Introdução a DevSecOps e Docker

DevSecOps é uma abordagem que integra práticas de segurança dentro do ciclo de vida do desenvolvimento de software, desde o planejamento até a implantação, alinhando-se ao modelo DevOps. Enquanto o DevOps se foca em automação e colaboração para acelerar o desenvolvimento e a entrega de software, o DevSecOps introduz controles de segurança de forma contínua, permitindo que as vulnerabilidades sejam identificadas e corrigidas o quanto antes, antes mesmo de chegar ao ambiente de produção. O Docker, por sua vez, é uma plataforma popular no ecossistema DevOps que permite a criação, o gerenciamento e a execução de contêineres, facilitando a construção de aplicações de forma isolada e reproduzível. A segurança é um aspecto crucial em todos esses ambientes, especialmente quando se fala de processos automatizados de construção e deployment.

Planejamento (Planning) >> Desenvolvimento (Development) >> Construção (Build) >> Testes (Testing) >> Implantação (Deployment) >> Operação (Operations) >> Feedback e Melhoria Contínua (Feedback and Continuous Improvement) >> Planejamento (Planning) (novamente)

Resolução

A assertiva está errada. Embora o trabalho colaborativo entre desenvolvedores, operadores de aplicativos e operadores de clusters seja essencial, a fase de compilação do ciclo de vida do DevSecOps não se concentra apenas na construção de código seguro no ambiente de produção. Na verdade, a fase de compilação (ou build) no contexto de DevSecOps se refere à criação do código a partir de fontes, onde as verificações de segurança, como análise de código estático, são realizadas para identificar vulnerabilidades. A segurança é incorporada bem antes de o código ser promovido para produção e não especificamente na produção. O foco da fase de compilação é garantir que o código gerado não contenha falhas de segurança antes de ser implantado no pipeline de CI/CD (Integração Contínua/Implantação Contínua).

Resposta: Errada - Chatgpt

A fase de compilação executa controles dentro do pipeline de CI (Integração Contínua), que por sua vez alimenta o pipeline de CD. A colaboração entre as equipes para definir esses controles é correta e essencial no DevSecOps, mas a afirmação localiza o "estabelecimento de controles para pipelines de CD" de forma muito restrita à fase de compilação. A implantação contínua (CD) é o processo de levar o código já compilado e testado para os ambientes.

Item errado.

A fase de compilação, em um ciclo de vida DevSecOps, refere-se principalmente à construção do código, onde o foco está em compilar e gerar o artefato, mas não é o momento em que as equipes de DevOps e de segurança trabalham juntas para estabelecer controles de segurança. Esses controles de segurança são incorporados mais significativamente nas fases de integração contínua (CI) e testes de segurança, com as equipes de segurança envolvidas em garantir que as vulnerabilidades sejam detectadas antes do código ser implantado em produção, não necessariamente durante a compilação.

By Futuro DEV Estável.

Tem que ser em todas fazes e não só na compilação.