Segurança de Aplicação

Gerenciando o Processo de Desenvolvimento Seguro

Quando começamos a construir a plataforma que hoje é o AppSec Flow, sempre tivemos a intenção de transformá-la em um ponto central onde nossos clientes pudessem ter reunidos, em um só lugar, dados e informações importantes sobre seus projetos, auxiliando nosso processo de desenvolvimento seguro.  

Ouça a versão em áudio deste blog post através do player abaixo:

Por meio do AppSec Flow, hoje conseguimos reunir em uma única plataforma serviços que permitem que nossos clientes gerenciem suas vulnerabilidades, realizem integrações com ferramentas externas, mantenham e criem playbooks que permitem uma continuidade de atividades de suas equipes, registrar e guardar o conhecimento ganho com os testes e muito mais.

No entanto, quero focar este artigo em como auxiliamos às equipes de desenvolvimento na garantia de continuidade de revisões de códigos sempre que há uma mudança em seu código.

Um Processo de Desenvolvimento Seguro

Quando construímos, juntos a nossos clientes, processos de desenvolvimento seguro, sempre buscamos primeiro entender como podemos ajudar sem levar para dentro das equipes mais pontos de fricção.

Buscar implementar um processo é sempre uma tarefa bem complicada, envolve uma série de mudanças que muitas vezes esbarra em uma equipe resistente e que é avessa à mudança.

Essa resistência até certo ponto é normal, e esperamos enfrentar este “problema”, mas buscamos mostrar que sendo feito da maneira correta e usando os recursos corretos tudo pode ser mais simples.

Quando colocamos os recursos, procuramos mostrar a importância de dois, que consideramos muito importantes na construção de um processo de desenvolvimento seguro.

1. Centralizar as informações 

O primeiro destes recursos é uma plataforma que facilitará à equipe centralizar as informações e passos que são necessários para a realização de um desenvolvimento estruturado. 

Nossa sugestão é utilizar a nossa plataforma de Continuous Application Security, o AppSec Flow.

O AppSec Flow pode ajudar as equipes a manter uma série de procedimentos centralizados, que podem ser seguidos e validados diretamente na plataforma, sem a necessidade de outras ferramentas que aumentam a complexidade do gerenciamento.

Com os recursos de integração do AppSec Flow, é possível integrarmos as ferramentas normalmente usadas pelas equipes de desenvolvimento como GitHub, Bitbucket e muitas outras.

Essa integração permite que assim que seja realizada uma mudança em um código, este possa ser revisado o mais rápido possível, pois sua nova versão irá disparar uma demanda dentro do AppSec Flow, acionando as equipes de testes.

Essa integração garante que os novos códigos sempre serão revisados.

Caso seja encontrada alguma vulnerabilidade, essa será registrada no AppSec Flow, que passará a gerenciar a correção, mostrando todas as informações necessárias para os gestores por meio de um Dashboard.

Dentro de um processo sempre há a preocupação de como manteremos a padronização das ações e tarefas de uma equipe. No caso do uso do AppSec Flow, garantimos por meio do uso de playbooks de cada tarefa, como, por exemplo, testes e ou processos de correção.

A criação destes Playbooks pode ser feita tanto pela equipe da Conviso quanto pela equipe do cliente que usa o AppSec Flow. Isso permite ao cliente manter o controle sobre como suas equipes irão atuar em diversos momentos.

Com as integrações do AppSec Flow, podemos ajudar a manter um controle maior  sobre os passos e ações necessárias para manter o código seguro.

2. Os Security Champions 

Um segundo ponto, também bem importante na construção de um processo de desenvolvimento seguro é ter alguém que possa ajudar a construir pontes.

O Security Champion pode ser a ponte que mostrará o caminho dentro do processo de desenvolvimento seguro, e para isso, o AppSec Flow dá uma atenção forte ao fato de precisarmos manter o contato entre as equipes de desenvolvimento e essas figuras tão importantes.

É por isso que nossa plataforma permite a comunicação direta entre estas duas equipes, sempre garantindo que o conhecimento adquirido na troca de conhecimento se mantenha registrado e salvo no AppSec Flow. 

Seu código merece atenção

Podemos dizer que o AppSec Flow é como um grande guarda-chuvas, onde colocamos abaixo dele todos os recursos necessários para que nossos clientes possam ter a certeza que os seus códigos recebem a devida atenção e passam por um processo contínuo de revisões e validações.

Atuar preventivamente é um dos princípios fundamentais em garantir a segurança de códigos, por isso buscamos atualizar e manter nossa plataforma AppSec Flow com este objetivo.

New call-to-action
About author

Articles

Mais de 15 anos de experiência em segurança da informação e aplicações, graduado em processamento de dados, trabalhei como professor universitário e participei ativamente como instrutor de treinamento para mais de 6000 desenvolvedores em equipes de TI. Sou pai de duas meninas e trader nas horas vagas.
Related posts
MobileSegurança de AplicaçãoSem categoria

3 serviços de AppSec que não podem ser negligenciados no fim de ano

2020 tem sido um ano atípico, mas mesmo em anos incomuns, algo é certeiro: na correria de fim de…
Read more
Segurança de Aplicação

Quais temas um treinamento de segurança deve contemplar?

O mercado de desenvolvimento parece estar se conscientizando cada vez mais com relação à…
Read more
Segurança de AplicaçãoTech

Conheça as diferenças entre segurança de aplicativos web e mobile

Com o mercado de desenvolvimento de aplicativos para aparelhos móveis (os famosos “mobile…
Read more

Deixe um comentário