Bom, rápido e seguro. Junto à importância dos testes funcionais e dos testes de performance, atualizar as políticas e as práticas de um programa de segurança de aplicações (AppSec) é fundamental para garantir a velocidade de entrega, a qualidade e a própria sustentabilidade do negócio. “Como sabemos, corrigir problemas de AppSec no início do ciclo de vida de desenvolvimento de software (SDLC) é mais econômico do que nas etapas de teste (10x) ou produção (30x). Portanto, a responsabilidade por AppSec deixa de ser exclusiva do time de segurança e se estende a todos nas equipes de desenvolvimento”, observa Percy Rotteveel, diretor global de estratégias de AppSec da Fortify.

Baixar eBook Grátis

Percy constata que, junto à quantidade e ao ritmo das entregas, outros fatores impactam a agenda de AppSec. Há um aumento exponencial do uso de APIs; bibliotecas de código aberto agregam vulnerabilidades; se expandem os ambientes suportados (mobile, web etc., com diversos níveis de risco e recursos de segurança); e as novas implementações acontecem em nuvens e contêineres. A partir dessas tendências, ele destaca alguns fundamentos que devem ser observados e executados nas políticas de AppSec.

Vulnerabilidades – responsabilidade de todos o tempo todo

Para que o desenvolvedor assuma a atribuição de identificar e remediar vulnerabilidades no código, a ferramenta de SAST deve se integrar aos próprios ambientes de programação (IDEs), assim como ao pipeline de CI/CD. Pior do que deixar passar defeitos para se resolver na esteira de teste é que, com a tendência crescente de reutilização, as vulnerabilidades vão se reproduzindo em várias entregas. “É o caminho do Desastre Contínuo”, ironiza Rogério Sartori, estrategista para DevOps na Micro Focus Brasil.
Além dos testes dinâmicos (DAST), de integrações (IAST) e execução (RASP), as vulnerabilidades nas bibliotecas de código aberto são outro ponto de atenção, o que recomenda a adoção de mecanismos de SCA (análise de composição de software) no ferramental de AppSec.

Controle de acesso por APIs

Entre as recomendações iniciais de Percy estão a adoção de gateways de APIs e técnicas como “restrição de chamadas” (se a API é usada em excesso, é erro ou tentativa de violação).
Em cadeias de valor mais críticas e complexas – por exemplo, os ambientes de Open Finance -, é preciso contar com sistemas seguros de gestão de criptografia e chaves; esquemas de tokenização, além das regras para proteger as APIs de sobrecargas e ataques de DoS.

Gestão de configurações

Os aplicativos e microsserviços modernos podem rodar em instâncias de múltiplos serviços (de nuvens privadas a serverless) ou contêineres. Assim como toda a parte de provisionamento se integra ao pipeline de CI/CD, a verificação de vulnerabilidades e a garantia de execução dos guidelines mais recentes de configurações de segurança são fundamentais em uma política de AppSec fim a fim.

Um guia para AppSec do planejamento à manutenção

O white paper Ajustando a segurança ao ciclo de vida do seu software percorre os desafios e as soluções para executar as políticas de AppSec ao longo dos processos de desenvolvimento, implementação, produção e mudanças.

Baixar eBook Grátis

Se quiser saber mais sobre integração, automação e esteira de testes de segurança, o material já está disponível em português.

Saiba mais sobre
as soluções de TI da Micro Focus

Informe seus dados e entraremos em contato






    Prometemos que não enviaremos spam ;-)