Vamos falar sobre o uso de ferramentas para segurança de aplicações? O quanto isso é importante e como pode resolver os problemas do seu desenvolvimento em AppSec? Conversamos com nosso CEO, Wagner Elias, também especialista em AppSec para falar sobre o assunto.
A primeira observação que precisamos fazer é sobre essa dúvida entre ter ou não ter ferramentas e o quanto, de fato, elas podem auxiliar e fazer um papel significativo na hora de testar a segurança da minha aplicação. Então vamos lá, ferramentas são importantes sim, o que não podemos fazer é transferir toda responsabilidade de segurança para uma única ferramenta. Falamos mais sobre isso neste post, não deixe de conferir.
Comprar uma ferramenta de SAST, ou seja qual for o fabricante ou qualidade da mesma, não irá resolver todos os seus problema de AppSec e garantir que sua aplicação esteja realmente segura. Os problemas em AppSec são complexos e envolve uma chave muito importante: mudança de cultura e capacitação do seu time de desenvolvimento.
Mas então, qual a importância das ferramentas de AppSec?
As ferramentas como SAST, DAST, IAST, SCA, entre outras, têm o propósito de ajudar profissionais capacitados a escalar e executar tarefas repetitivas. E o que seriam essas tarefas?
Um humano validando uma RegEx para ver se ela é vulnerável a um ataque de negação de um serviço de uma RegEx é menos eficiente do que um Script, uma ferramenta que vai rodar isso milhões de vezes da mesma forma. Estendendo essa capacidade da ferramenta, ela também pode identificar padrões de código, padrões de vulnerabilidades que são repetitivos e possibilitar que você ganhe escala.
Uma ferramenta irá ajudar a construir um programa de AppSec, onde você tem um profissional fazendo atividades que são críticas e exigem uma análise humana, e por outro lado, usando a ferramenta de forma inteligente: ganhando escala.
Você também pode, inclusive, usar suas integrações com os processos de CI/CD para executar essas análises automatizadas, usar o aprendizado dessas ferramentas para capacitar os times, ter cobertura de tudo que você faz durante o processo de desenvolvimento, entre outros.
Um outro caso bastante comum onde ferramentas são importantes, (falando de SAST especificamente) é quando falamos sobre Code Review manual feito por humanos, ele tende ser mais efetivo, porém ele levará mais tempo em sua execução do que uma ferramenta automatizada, e exigirá um profissional altamente qualificado, consequentemente seu custo será mais alto. Neste caso, podemos trabalhar com priorizações, por exemplo: aplicações críticas exigem análise humana com ferramentas, e aplicações menos críticas permitem simplesmente o uso de ferramentas para ganhar cobertura.
O que precisa ficar claro é que as ferramentas são importantes, mas dentro de todo um programa de AppSec, jamais podem ser usadas como única e exclusiva solução para implementar segurança nos times de desenvolvimento.
Assista ao vídeo sobre este tema: