Ian Miell, autor de muitos livros, incluindo “Docker in Practice,” e Consultor Parceiro na Container Solutions, entregou uma palestra na QCon Londres 2025 sobre uma abordagem modernizada para conformidade, anunciando um projeto de código aberto que visa resolver muitos dos problemas vistos no processo de auditoria e conformidade.
“A maneira como gerenciamos a conformidade está errada, mas está mudando,” afirmou Miell, destacando que há uma desconexão entre as práticas modernas de DevOps de automação e repetibilidade e os procedimentos tradicionais de auditoria e conformidade, que tendem a ser manuais, ad-hoc e ineficientes.
A equipe de Miell desenvolveu o Continuous Compliance Framework (CCF), um projeto que surgiu das frustrações do mundo real expressas por seus clientes sobre seus próprios processos de auditoria e conformidade. Miell passou pela situação atual da gestão de conformidade, explicando como ela sofre de quatro problemas críticos do ponto de vista das equipes de operações.
Primeiramente, Miell descobriu processos predominantemente manuais, com auditorias e conformidade sendo impulsionadas em grande parte por páginas de Wiki, planilhas e capturas de tela ad-hoc para rastrear o status de conformidade. Em seguida, as auditorias acontecem periodicamente (talvez a cada 6 meses), o que significa que uma empresa pode estar não conforme fora dos períodos de auditoria. Depois, Miell constatou que as auditorias tendem a se concentrar na documentação em vez de nas práticas de trabalho reais, e ele fez uma analogia com o fato de que isso é exatamente o oposto do primeiro elemento do Manifesto para Desenvolvimento Ágil. Por fim, os processos de conformidade tendem a ser personalizados e não repetíveis, dependendo de quem está fazendo a auditoria e para quem, com pouca possibilidade de interoperabilidade entre eles.
Auditoria e conformidade são vistas como uma atividade secundária e, portanto, tratadas como um imposto. É algo que temos que fazer, mas realmente não queremos conversar com essas pessoas.
Miell explicou que esse problema de percepção, combinado com o trabalho manual descrito acima, torna a auditoria e a conformidade caras e não escaláveis. Ele citou pesquisas indicando que 10% dos custos operacionais totais dos bancos (não apenas em tecnologia) são gastos com conformidade, e que o interesse regulatório também está aumentando, por exemplo, com a Lei de Resiliência Operacional Digital da UE (DORA) entrando em vigor este ano.
Durante sua apresentação, Miell demonstrou o Continuous Compliance Framework (CCF). Ele mostrou como a ferramenta pode pegar dados de múltiplos ambientes de nuvem, mostrando um sistema monitorando VPCs da AWS, assinaturas do Azure e aplicativos on-premise representados por contêineres Docker. Ele demonstrou como o sistema gera fluxos de dados de conformidade em tempo real que os usuários podem filtrar e analisar em painéis. De acordo com Miell, as capacidades em tempo real do CCF, o uso de padrões abertos e a abordagem voltada para desenvolvedores o diferenciam dos concorrentes, que tendem a ser de código fechado e caros. “Os concorrentes vêm da área de conformidade, enquanto isso vem da perspectiva de desenvolvimento,” explicou.
No cerne do Continuous Compliance Framework está o OSCAL (Open Security Controls Assessment Language), um padrão escrito pelo Instituto Nacional de Padrões e Tecnologia dos EUA (NIST), que define documentos legíveis por máquinas que ferramentas compatíveis podem interpretar. “Decidimos nos comprometer totalmente com o OSCAL,” explicou Miell, citando como é bem elaborado e cobre o tópico de forma abrangente. Ele reconheceu, no entanto, que pode ser “bastante opaco de entender”. Miell observou que sua equipe está trabalhando com o NIST em potenciais melhorias para o OSCAL, particularmente em torno da adição de conceitos de streaming ao lado do foco existente em pontos no tempo.
A arquitetura por trás do CCF é baseada em agentes, com pequenos agentes leves que podem ser executados em qualquer lugar. É escrito em Golang e possui um backend MongoDB (escolhido porque o OSCAL é baseado em JSON), com REGO como a linguagem de configuração de políticas.
Olhando para o roadmap do projeto, Miell espera que o CCF se torne um padrão para gestão centralizada de controle. Os planos futuros incluem mais integrações com ferramentas de segurança como Black Duck, Snyk e meld.io, e talvez um marketplace de plugins. Referindo-se de volta às suas conversas com CISOs, Miell encerrou sua palestra afirmando um objetivo principal para o CCF de ajudar a que eles possam dormir à noite, sabendo que seus sistemas estão sendo continuamente monitorados e auditados para questões de conformidade. Miell espera que o sistema se torne o padrão para “coletar evidências de dados de streaming e ser capaz de fatiar e cortar dependendo de quem está olhando para isso”.
O CCF está disponível no GitHub agora.