Os testes em infraestrutura DevOps buscam avaliar a segurança de todo o ecossistema que sustenta o ciclo de desenvolvimento e entrega de software, desde o armazenamento do código até a publicação em ambientes de nuvem. Diferente de uma análise de aplicação ou revisão de código, esse tipo de teste observa a arquitetura como um todo, identificando falhas em processos, ferramentas e integrações que podem ser exploradas por atacantes para comprometer o ambiente de desenvolvimento, a esteira de entrega e, consequentemente, os sistemas em produção.
A análise em infraestrutura DevOps contempla todos os elementos da cadeia, começando pela segurança dos repositórios de código (controle de acessos, proteção de branches, segredos expostos), passando por pipelines de CI/CD (como Jenkins, GitHub Actions, GitLab CI/CD, Azure DevOps) e chegando à orquestração de microserviços e ambientes em nuvem (AWS, Azure, GCP e outros). O objetivo é verificar se cada camada possui controles adequados contra manipulação de builds, injeção de código malicioso ou uso indevido de credenciais.
Exemplos de pontos de atenção: