Os testes estáticos de segurança (SAST) com o Fortify agora podem ser integrados diretamente nos pipelines de CI/CD. Com o lançamento do Fortify Scan Pipe, junto ao FortifyToolsInstaller, a ferramenta de testes de segurança pode ser instalada no Atlassian Bitbucket Pipe. A atualização estende as facilidades de integração ao Github e GitLab e o Fortify pode ser instalado na maioria dos ambientes de CI/CD, como AWS CodeStar e Bitbucktet. Na prática, isso permite que os próprios desenvolvedores vejam as falhas de segurança em suas aplicações, o que agrega agilidade, reduz atritos e acaba aprimorando o skill de segurança no DevOps.
“A expansão do DevOps faz com que evolua para além das integrações básicas impulsionadas pela pressa do shift-left. A segurança deve acompanhar a era do tudo como código”, diz Dylan Thomas, diretor de produtos Fortify da CyberRes, a divisão de cibersegurança e segurança da informação da Micro Focus. “Estamos empenhados em fazer com a segurança de aplicações deixe de ser um ponto de fricção e se torne uma habilitadora do desenvolvimento ágil, sem comprometer a qualidade, oferecendo a melhor experiência de usuário e flexibilidade para se adaptar às demandas e às ferramentas de qualquer equipe de software”, explica.
Com o novo Atlassian Bitbucket Pipe, as varreduras do código são disparadas automaticamente e os resultados aparecem diretamente no pipeline de CI/CD por meio do BitBucket Code Insights.
Corresponsabilidade por segurança e eficiência na colaboração
As ferramentas para gerenciamento e automação de ciclos de desenvolvimento são hoje praticamente imprescindíveis para dar conta da velocidade de entrega. Outra pressão, além da agilidade, é ter que lidar com ambientes cada vez mais complexos. Microsserviços em contêineres, APIs, bibliotecas, funções de autenticação e diversos componentes do software têm impacto não apenas nas funcionalidades, como também em performance e segurança. Com a transformação digital, os três critérios passam a fazer parte da agenda de negócios. Ou seja, a oferta das melhores features só funciona se o produto for rápido, fácil e confiável.
A correção de falhas e vulnerabilidades ao longo de todo o ciclo de desenvolvimento, evidentemente, reduz não apenas o custo de correção dos defeitos, como também elimina riscos potencialmente recorrentes. No caso da reutilização de código, a segregação do desenvolvimento e dos testes de segurança pode fazer com que as falhas, muitas vezes já corrigidas, sejam revitalizadas, fazendo com que CD passe a significar “desastre contínuo”.
Para simplificar a inserção dos testes de segurança a todo o ciclo dos produtos, o Fortify conta com integrações a IDEs, repositórios de código, ferramentas de teste e outros itens dos ambientes de DevOps.
A própria implementação do Fortify também tem ficado mais flexível, com as alternativas de instalação on premise, em contêineres ou no modelo on demand (SaaS).
