Entre as várias plataformas de gerenciamento de código do mercado, o Bitbucket da Atlassian é um dos mais populares entre os desenvolvedores. A ferramenta hospeda um repositório Git baseado em nuvem que se integra perfeitamente ao Jira e demais produtos da Atlassian. Neste post, vamos orientá-lo a tirar o máximo proveito da integração do Bitbucket com a Conviso Platform, ajudando a aumentar o nível de maturidade de segurança da aplicação.
Você também pode ouvir esse conteúdo:
Atualmente, o Bitbucket possui mais de 10 milhões de usuários registrados. Nesse contexto, é importante enfatizar sobre segurança durante o Ciclo de Desenvolvimento de Software (SDLC) e no fluxo de trabalho da equipe de desenvolvimento, desde o desenvolvimento até o deployment da aplicação.
Para garantir que possamos implementar uma mentalidade de segurança em primeiro lugar sem afetar a velocidade de desenvolvimento, construímos a integração de nossa plataforma com o Bitbucket.
Como funciona a integração?
A integração da Conviso Platform com a ferramenta Bitbucket pode ser feita via API, permitindo a criação de tasks, comentários e também um webhook para os comentários. Essa integração de Defect/Bug Tracking é realizada seguindo as etapas conforme o tutorial desta documentação. Assim, é possível realizar a gestão de vulnerabilidades, integrando a stack de tools dos times de devs com a plataforma.
Adicionalmente, também nos integramos ao Pipelines Bitbucket, recurso dentro do Bitbucket para serviço de CI/CD, sendo realizado conforme esta outra documentação. Essa integração permite que você integre o seu pipeline de desenvolvimento ao produto Secure Pipeline da Conviso Platform sem afetar os negócios ou processos do time.
Agora, vamos falar especificamente sobre os benefícios dessa integração e como a plataforma contribuirá com a segurança no seu ciclo de desenvolvimento.
Revisar as versões de código
Em um processo sistemático de construção de software, a etapa de revisões de segurança geralmente acontece no final, quando a aplicação está pronta.
Porém, através da integração com o Pipelines Bitbucket, é possível integrar ao pipeline de desenvolvimento ações para o Code Review, construindo um processo de revisões contínuas, centralizando as informações das vulnerabilidades em um único lugar e trazendo medidas de segurança logo no início do fluxo. Isso faz com que as equipes reduzam o tempo para corrigir vulnerabilidades de software.
Essa integração permite que assim que ocorrer uma alteração no código, ela possa ser revisada o quanto antes, pois sua nova versão acionará uma demanda dentro da Conviso Platform, acionando as equipes de teste.
Além disso, todo o processo de revisão por meio de uma única plataforma significa garantir que o conhecimento adquirido com as ações de solução ao longo do tempo seja mantido e repassado aos novos membros da equipe.
Determine testes e revisões de segurança
Mas como garantir que suas dependências open source e pacotes de terceiros estejam livres de vulnerabilidades?
Através do Secure Pipeline da Conviso Platform, seu código do Bitbucket será verificado automaticamente por ferramentas de análise estática tipo SAST e de Software Composition Analysis (SCA), sendo os resultados tratados de modo centralizado na plataforma como findings.
Assim, é possível integrar a Conviso Platform com as principais ferramentas de segurança do mercado ou utilizando nosso próprio bundle de ferramentas open source para encontrar vulnerabilidades.
Em outras palavras, os testes de segurança são automatizados em todo o Software Development Life Cycle (SDLC) e não somente em alguns estágios.
Orquestração de ferramentas
A Conviso Platform pode ajudar as equipes a manter uma série de procedimentos centralizados, que podem ser seguidos e validados diretamente na plataforma, sem a necessidade de outras ferramentas que aumentam a complexidade da gestão.
Através dessa integração com a Conviso Platform, você implementa o Application Security Testing Orchestration (ASTO) e passa a usufruir da integração de análises de segurança ao seu pipeline de desenvolvimento ou produção.
A plataforma executa automaticamente as ferramentas de segurança necessárias no momento certo, com base na importância das alterações de código, na pontuação total de risco e nas próprias políticas de segurança da organização.
Gerenciar e controlar vulnerabilidades
Em nossa integração com o serviço de Issues de Defect Tracking, a Conviso Platform, de maneira bi-direcional, cria e atualiza status de vulnerabilidades enviando essas mudanças para dentro do recurso do Bitbucket onde as Issues são organizadas. Essa integração permite que tickets ou tasks sejam criados automaticamente quando novas vulnerabilidades são identificadas no seu código do Bitbucket.
Vulnerabilidades identificadas no seu código contarão com a Conviso Platform para sua gestão e produção de relatórios de segurança avançados. Tudo isso de forma simples, sem afetar os processos internos dos times.
Com esses dados, é possível falar de forma inteligente sobre o status/tendências da segurança de software em sua organização, além de ilustrar o progresso desses processos.
A plataforma completa em AppSec
Quando você tem o controle e gerenciamento das vulnerabilidades da sua aplicação, você também tem dados importantes sobre as principais lacunas em técnicas de codificação segura do time de desenvolvimento.
Acessando o People & Culture da Conviso Platform, você pode identificar gaps no conhecimento de programação segura de sua equipe de desenvolvimento que precisam ser desenvolvidas por meio de exercícios técnicos e treinamentos fornecidos com base nessas métricas.
Usando o produto Secure by Design da Conviso Platform, as equipes de desenvolvimento podem realizar modelagem de ameaças e identificar requisitos de segurança de maneira consistente, escalável e inteligente, mesmo antes de codificar e gerenciar código no Bitbucket; detectando problemas que as ferramentas IAST normalmente não conseguem identificar.
Portanto, com a suíte da Conviso Platform, é possível incluir a segurança em todas as fases de desenvolvimento no cotidiano do desenvolvedor de forma simples e automatizada.
