Saltar para o conteúdo principal da página

Especialista de DevSecOps

Implementa processos e ferramentas para promover técnicas DevSecOps ao longo de todo o ciclo de vida de desenvolvimento de soluções
Atualização26.10.2023

Definição

O que significa ser Especialista de DevSecOps?

O Especialista de DevSecOps combina as práticas de desenvolvimento de software - DevOps - com a segurança da informação - Sec. O termo DevSecOps enfatiza a importância de integrar a segurança no processo de desenvolvimento de software desde o início, em vez da segurança surgir posteriormente.

O Especialista de DevSecOps trabalha para garantir que as práticas de segurança são incorporadas em todas as fases do ciclo de vida do desenvolvimento de software, que pode incluir a revisão e a melhoria de processos existentes, a definição de políticas de segurança, a implementação de ferramentas de segurança automatizadas e a criação de diretrizes para o desenvolvimento seguro de software. O objetivo é garantir uma abordagem consistente e eficiente com a implementação de testes automatizados de segurança, análise de código, verificação de vulnerabilidades e monitorização contínua da segurança.

O Especialista de DevSecOps atua como um facilitador na colaboração entre as equipas de desenvolvimento, operações e segurança.

Missão

Quais os objetivos deste perfil?

  • Aplicar uma abordagem multifuncional e colaborativa para a criação de soluções de software centradas no cliente;
  • Automatizar o sistema de produção de software para fornecer soluções mais rápidas e eficientes.

Boas práticas

O que seria interessante fazer?

Monitorizar os resultados das ações de melhoria contínua implementadas

Monitorizar os resultados das ações de melhoria contínua implementadas, para medir quais as áreas do serviço que acrescentam maior valor aos utilizadores.

Realizar atividades de melhoria contínua para todos os aspetos do serviço

Realizar atividades de melhoria contínua para todos os aspetos do serviço, pois as necessidades não são estanques no tempo. A melhoria contínua irá evitar que os serviços se tornem obsoletos, de um ponto de vista de utilidade, e identificar potenciais atualizações a serem realizadas.

Realizar um processo de gestão dos riscos

Identificar, analisar, avaliar e tratar os riscos de cibersegurança, de modo a definir e implementar medidas e controlos de segurança ao nível técnico e organizativo, promovendo melhorias na gestão dos riscos.

Fomentar a realização de testes unitários e integrados

Fomentar a realização de testes unitários e integrados, de uma forma contínua ao longo do sprint, para garantir a qualidade do entregável do sprint.

Implementar testes automatizados

Implementar testes automatizados, recorrendo a ferramentas desenvolvidas para verificar requisitos de software funcionais e/ou não funcionais, por meio de scripts de testes automatizados, de modo a verificar se as implementações antigas estão a funcionar corretamente.

Principais atividades

Quais as principais tarefas deste perfil?

  • Desenvolver processos de Continuous Integration/ Continuous Delivery (CI/CD) para fornecer infraestruturas de maior qualidade e maior velocidade;
  • Automatizar a integração de ferramentas que compõem o ciclo de vida de desenvolvimento;
  • Desenhar sistemas com altos níveis de disponibilidade e escalabilidade;
  • Desenhar e implementar estratégias de mitigação com base em vulnerabilidades de segurança identificadas;
  • Gerir os repositórios de código ao longo do ciclo de vida das releases (versões);
  • Facilitar a colaboração e o envolvimento interfuncional;
  • Adotar uma metodologia ágil de desenvolvimento de software.

Experiência relevante

O que é importante ter?

  • Conhecimento dos conceitos de DevOps/ DevSecOps;
  • Experiência com automatização em testes ou orquestração (ex. Selenium, Maven, Ant, Msbuild, Npm, Yarn, Jenkins, Team City);
  • Conhecimento das tecnologias de virtualização e orquestração de containers (ex. Kubernetes);
  • Experiência em tecnologias Cloud;
  • Experiência em Bases de Dados (ex. SQL Server, Oracle, Postgres, MySQL, CosmosDB).