ProdutoSegurança de Aplicação

Gestão de Vulnerabilidades – Ferramentas de SAST e DAST

Você pode ouvir a nossa versão em aúdio desse Blogpost:

Aqui na CONVISO pregamos pela qualidade e pela segurança dos códigos.

Para isso sempre buscamos colocar na realização de nossos serviços nossos melhores esforços

Portanto defendemos que um bom teste, tanto de code review quanto testes de intrusão, por exemplo, tenham a participação direta de um analista experiente e com conhecimento profundo.

Esse pensamento às vezes é mal entendido por nossos clientes e pelo mercado, que acreditam que por termos esta postura não acreditamos ou concordamos com o uso de ferramentas.

É um equivoco, o que entendemos é que uma ferramenta por melhor que seja não consegue se comparar a uma pessoa bem preparada e experiente no que está fazendo.

No entanto isso não quer dizer que não usamos ferramentas para auxiliar em nossos testes.

As ferramentas de SAST e DAST são muito importantes dentro de um processo de desenvolvimento e defendemos sempre o seu uso onde e quando for necessário.

Em um dos nossos artigos mostramos nosso pensamento sobre o uso de ferramentas e sua comparação com a realização de uma análise de code review

Neste artigo vamos mostrar que ferramentas de SAST podem muito bem trabalhar em conjunto com os analistas e com isso trazer muito mais resultado para um projeto.

Porém não acreditamos no uso exclusivo da ferramenta como solução mágica.

O Uso de Ferramentas de SAST e DAST

Entendemos que ferramentas de SAST e também de DAST devem receber sua atenção merecida dentro do processo de desenvolvimento seguro, e para isso nossa plataforma AppSec Flow é preparada para se integrar a ferramentas de SAST e DAST.

O AppSec Flow é uma plataforma totalmente pensada e preparada para receber o relatório gerado pelas ferramentas e garantir que todas as vulnerabilidades identificadas sejam gerenciadas em seu processo de correção.

Gestão de Vulnerabilidades - AppSec Flow

Centralizando seu resultado em uma plataforma focada em gerenciamento do processo de correção de vulnerabilidades, a empresa ganha mais controle e consegue garantir que todo o fluxo de correção seja realizado seguindo as melhores práticas do mercado. 

Alguns exemplos de ferramentas que temos integrada à nossa plataforma são: Veracode, Checkmarx, Fortify e Sonarqube, entre outras.

Ainda, com nossa API podemos garantir a integração com todas as ferramentas que permitam este tipo de comunicação.

Saiba mais sobre a Gestão de Análises SAST e DAST no AppSec Flow

Todas as informações em um único lugar 

Além de ter sido construída para garantir a melhor forma de gerenciarmos o processo de correção de vulnerabilidades, o AppSec Flow tem como base sólida, a experiência adquirida em cada uma das análises já feitas.

A plataforma entrega aos gestores, dentre suas muitas, duas funcionalidades importantes no processo de desenvolvimento seguro.

A primeira é permitir o gerenciamento das vulnerabilidades identificadas pelas ferramentas de SAST e DAST, tornando a sua correção um processo estruturado e rastreável.

A segunda é a possibilidade de registrarmos todo o conhecimento adquirido durante o processo de identificação e correção das vulnerabilidades.

Através de seu dashboard entrega ao gestor e às equipes uma visão centralizada de suas vulnerabilidades e como está o status de suas análises, garantindo um controle sobre o nível de risco.

Vai além de apenas realizar revisões

Pensamos que garantir a segurança de um código é muito mais que apenas realizar revisões.

Precisamos garantir que as vulnerabilidades identificadas pelas ferramentas de SAST e DAST sejam devidamente corrigidas e que o conhecimento adquirido no processo seja mantido.

Garantir a segurança de um código é um processo, e como tal deve sempre ser validado e acompanhado pois como diziam Robert Kaplan e David Norton,  sabemos “o que não é medido não é gerenciado”

Com o uso do AppSec Flow as informações relevantes sobre a segurança do seu código são apresentadas de uma forma que pode facilitar a sua tomada de decisão.

E você, sabe com certeza como está a segurança do seu código ?

New call-to-action

About author

Articles

Mais de 15 anos de experiência em segurança da informação e aplicações, graduado em processamento de dados, trabalhei como professor universitário e participei ativamente como instrutor de treinamento para mais de 6000 desenvolvedores em equipes de TI. Sou pai de duas meninas e trader nas horas vagas.
Related posts
MobileSegurança de AplicaçãoSem categoria

3 serviços de AppSec que não podem ser negligenciados no fim de ano

2020 tem sido um ano atípico, mas mesmo em anos incomuns, algo é certeiro: na correria de fim de…
Read more
Segurança de Aplicação

Quais temas um treinamento de segurança deve contemplar?

O mercado de desenvolvimento parece estar se conscientizando cada vez mais com relação à…
Read more
Segurança de AplicaçãoTech

Conheça as diferenças entre segurança de aplicativos web e mobile

Com o mercado de desenvolvimento de aplicativos para aparelhos móveis (os famosos “mobile…
Read more

Deixe um comentário