O mercado de AppSec vem conquistando grande visibilidade nos últimos anos. Como consequência disso, temos visto o surgimento de novas ferramentas e plataformas que buscam trazer um maior controle para os gestores.
A versão em áudio deste artigo também está disponível:
No entanto, também temos visto muitas plataformas que são reestruturadas e apresentadas como uma ferramenta que entrega as mais diversas soluções, de forma genérica e sem mostrar em qual base de entendimento em que suas soluções se sustentam.
Na Conviso, entendemos que ferramentas e plataformas devem ser construídas com um propósito, buscando resolver um problema e entregando a melhor solução dentro de uma estrutura de conhecimento sólido e mensurável.
Neste contexto, acreditamos que buscar suporte em um método ou metodologia estruturada e que tenha seu resultado sido testado ao longo do processo e se mostra muito mais forte em sua estrutura.
Pensando nisso, a Conviso Platform tem suas bases fortemente fincadas em metodologias e processos que têm como foco a melhoria no processo de desenvolvimento seguro, e um destes padrões é o SAMM.
LEIA TAMBÉM: Conviso Platform: a plataforma completa de DevSecOps
O que é SAMM?
O SAMM é um modelo desenvolvido pela OWASP (Open Web Application Security Project) que tem como maior objetivo aumentar o grau de segurança em aplicações por meio de educação, modelos e padrões a serem seguidos.
Para compreender as práticas do Framework OWASP SAMM, estamos produzindo uma série de artigos bem detalhados sobre o tema, acompanhe clicando aqui.
Como a Governança é suportada pela Conviso Platform
A Governança é um ponto fundamental dentro do Processo de Desenvolvimento Seguro. Aliás, a Governança é também um conceito importante a toda e qualquer atividade que precise de um gerenciamento eficaz.
Medindo e estruturando a estratégia
A Maturidade de software pode ser vista como a evolução de muitas atividades, com preocupações diferentes.
O objetivo da Conviso Platform enquanto plataforma de gestão é ajudar na visualização e criação de um plano e que possa ajudar a visualizar pontos de melhoria dentro do processo. Entendemos que, sem um plano bem definido, teremos grandes dificuldades na execução de nossa estratégia e a realização de tarefas desestruturadas seria uma perda de tempo.
Então, o objetivo da Conviso Platform é ajudar a criar um plano eficaz possibilitando que o gestor possa atingir os objetivos de segurança de software.
Assim, podemos dizer que a Conviso Platform atua diretamente para auxiliar nesta tarefa quando, por meio do cadastro de ativos, torna possível definir criticidades a cada um dos ativos que serão gerenciados.
Quando conseguimos ter a criticidade identificada para o ativos, temos a possibilidade de planejar melhor a forma como vamos atuar em cada uma das vulnerabilidades identificadas.
Desta forma, podemos dar a atenção correta e necessária à vulnerabilidade sem que seja desprendido tempo para corrigir uma vulnerabilidade crítica em um ativo de baixa prioridade para o negócio, enquanto uma vulnerabilidade média em um ativo crítico foi deixada em segundo plano.
Então, essa visão oferecida pela Conviso Platform permite ao gestor ter o controle adequado sobre seus ativos e como eles devem ser vistos no processo de correção.
Ainda faz parte de uma boa Governança garantir que o conhecimento que é adquirido seja aproveitado dentro da própria empresa. Isso é possível pelo uso da criação de playbooks e documentações específicas das correções feitas, gerando assim um histórico que fica armazenado na plataforma para futuras pesquisas. Isso gera para a empresa um conhecimento que de outra forma seria perdido.
Priorizar os ativos e suas correções não é o suficiente se não temos como acompanhar o progresso e a evolução no que estamos buscando.
Para isso, a Conviso Platform apresenta em seu Dashboard uma série de informações que vão facilitar a visualização de dados como volume de vulnerabilidades, pessoas treinadas e muitas outras.
Por meio das informações extraídas das análises, é possível a criação de playbooks que venham ajudar na visualização de KPIs.
Como colocamos em nosso artigo falando sobre a importância da comunicação, a Conviso Platform permite uma troca constante e direta entre os integrantes dos times, possibilitando a troca de experiências e melhorias no processo.
Desta forma, podemos ajudar os gestores a melhor visualizar os processos de sua área.
Quais suas políticas e requisitos legais?
Quando falamos em Governança, falamos em construção de um modelo de gestão estruturado e analisável.
Desta forma, temos que nos apoiar em plataformas que nos ajudem a manter este planejamento, senão teremos apenas um desejo de gerenciar nossa estrutura sem uma forma adequada de validação do plano.
A Conviso Platform pode garantir que ao pensarmos em todos os requisitos, tanto legais, contratuais ou mesmo de SLA, estes sejam acompanhados e mantidos sobre controle.
Da mesma forma os padrões de segurança interna e externa devem ser conduzidos para garantir a conformidade, e que esta conformidade esteja alinhada com os objetivos comerciais da empresa.
Novamente, por meio da Conviso Platform é possível que a equipe crie playbooks que venham a descrever quais são as exigências a serem seguidas e como devem ser trabalhadas dentro da segurança de software.
Assim que estes documentos descrevem a estrutura, é possível vincular estes às análises garantindo que as recomendações e orientações serão seguidas mesmo que o desenvolvedor não conheça diretamente. Da mesma forma, os playbooks podem criar orientações de testes e validações prescritivas que agiliza a aplicabilidade no dia a dia da equipe.
Além de todos estes pontos, os playbooks podem servir como uma documentação de todas as regulamentações que devem ser seguidos pelas equipes de desenvolvimento, agilizando o processo de validações e testes.
Entregando conhecimento
Documentar, criar diretivas e exigir melhores práticas de nada adianta quando não temos uma equipe bem treinada e armada com as melhores informações.
Acompanhar essa evolução dentro do processo de Governança ou mesmo ter informações de como podemos nos adiantar a alguns problemas é fundamental.
Dentro da Conviso Platform podemos apresentar dados que venham a entregar o controle sobre quais são as necessidades de entendimento e aprendizado por parte das equipes de desenvolvimento, tornando assim possível ao gestor criar seus planos de treinamento.
É possível focar em criar as condições para que as equipes tenham toda capacidade de executar as suas atividades da melhor forma possível, sem que seja necessária a intervenção a cada momento dos gestores.
Um dos temas mais recorrentes entre as equipes é que há a necessidade de manter um ciclo de treinamento constante e que possa entregar às equipes o conhecimento sobre as melhores práticas e sobre conscientização de segurança.
A cada ciclo, a organização deve criar uma base sólida de conhecimento e isso possibilita a distribuição do conhecimento não só entre os desenvolvedores, mas também entre outras áreas da empresa.
Além disso, por meio da estrutura de documentação da Conviso Platform, é possível a construção de playbooks que possam ser a base para um processo de onboarding, que será feito de forma estruturada.
Da mesma forma, a plataforma pode entregar aos desenvolvedores a possibilidade de ter acesso a guias de melhores práticas de desenvolvimento, criados e mantidos dentro da própria plataforma. Ela é um canal de comunicação direta entre todos das equipes, a qual permite a troca de experiências e conhecimento.
Acreditamos que uma plataforma bem estruturada seja um grande passo dentro da busca pelo sucesso na construção e manutenção de um processo de desenvolvimento seguro eficiente.
