ProdutoSegurança de AplicaçãoSem categoria

Integração com Jira e GitHub, uma visão unificada das vulnerabilidades.

Durante o processo de desenvolvimento sempre mostramos a importância de termos serviços e a integração de ferramentas para que o processo flua de forma mais segura possível.

Prefere ouvir a versão em áudio deste artigo? Utilize o player abaixo:

Não é diferente quando queremos que nossos clientes passem a implementar processos de desenvolvimento mais seguros, e uma das preocupações é o processo de integração e a quantidade de informações geradas por todas as ferramentas.

Muitos dados, inúmeras ferramentas

Um dos problemas é que durante o processo de desenvolvimento, existe uma série de dados que são gerados e precisam ser analisados e tratados. Estes dados são importantes para que todo o processo aconteça de forma a garantir a segurança dos códigos.

São inúmeras as ferramentas que encontramos em ambientes de desenvolvimento, e quando apresentamos o processo é comum termos uma certa resistência, afinal de contas será mais uma ferramenta inserida no processo.

A questão da centralização de informações é uma das nossas preocupações e para quem não conhece, e até mesmo para aqueles que já usam outras ferramentas, apresentamos sempre o AppSec Flow.

Centralizando as informações

Com a nossa plataforma conseguimos colocar o processo de desenvolvimento centralizando as informações em uma plataforma única e que entrega às equipes dados e informações já estruturadas.

O fato de termos várias ferramentas envolvidas em um processo de desenvolvimento torna ainda mais desafiadora sua adesão.

Encontramos diversas ferramentas como por exemplo o Jira, uma das plataformas mais usadas para gerenciamento de issues.

O Jira é muitas vezes usado como uma plataforma de gerenciamento de vulnerabilidades pelas equipes de desenvolvimento, mesmo não tendo sido construído com está finalidade.

No entanto, ganhou muitos adeptos que o usam para a controlar o processo de correção de suas vulnerabilidades. Ao usar esta ferramenta a equipe perde uma série de visões das vulnerabilidades.

Para aqueles que ainda querem manter a sua estrutura do Jira, o AppSec Flow permite que aconteça uma integração entre as duas plataformas, criando realmente um ambiente adequado para a correção das vulnerabilidades.

Desta forma, podemos garantir que o processo de desenvolvimento seguro se manterá íntegro com o uso de ferramentas de centralização de informações, permitindo uma visão mais centralizada.

Controle de versões e code review

Ainda, é importante garantir que a cada nova versão um novo processo de code review terá início.

O que normalmente encontramos é que, quando há novas versões de um código, existe um ajuste da equipe para a realização de uma revisão no código.

No entanto, esta revisão conta com o controle da própria equipe das suas versões e quais são as novas validações e correções que devem ser feitas.

Não existe em muitos casos um processo estruturado de controle de novas versões a serem revisadas e nem mesmo o controle de quais vulnerabilidades já foram corrigidas.

Isso acaba tornando o ambiente de desenvolvimento um ambiente onde as correções possuem um controle bem fraco.

Integração de Repositórios

Para este ponto, pensamos na possibilidade de integração dos repositórios de códigos mais populares do mercado, como por exemplo GitHub também BitBucket, e com isso conseguimos garantir que assim que um novo commit é feito, um novo processo de revisão de código é iniciado.

A possibilidade de centralizar e participar de um processo automatizado dentro do processo de desenvolvimento permite ao AppSec Flow ajudar às equipes de desenvolvimento e aos seus gestores uma melhor visão sobre as vulnerabilidades que foram identificadas e que estão sendo corrigidas.

Ainda, se conseguirmos centralizar todas as vulnerabilidades em uma plataforma, conseguimos garantir que o conhecimento adquirido no passar do tempo com as soluções aplicadas sejam mantidas e passadas para novos membros dos times.

Todo o processo em uma única plataforma

Mas, mesmo que possamos participar de um processo automatizado, ainda assim existem equipes que preferem manter sua plataforma de gestão de tickets, como por exemplo o Jira.

Para isso conseguimos, como falamos, manter a integração com plataformas semelhantes ao Jira, em duas vias, o que permite enviar do AppSec Flow uma vulnerabilidade para ser acompanhada em outra plataforma.

O que tentamos entregar por meio do AppSec Flow não é um produto ou mesmo um serviço, o que entregamos é a possibilidade de ajudar às equipes de desenvolvimento a manter o seu processo da forma como acreditamos ser o melhor.

Para isso entregamos uma plataforma flexível e que ajudará a construir um processo estruturado e coerente com as melhores práticas.

Entender que o processo pode ser construído usando plataformas que podem auxiliar na melhor visualização traz para às equipes e para os gestores uma tranquilidade.

Queremos fazer parte da construção de um processo e estruturar a construção desse processo de forma a ajudar a manter o código seguro em todos os seus aspectos.

New call-to-action

About author

Articles

Mais de 15 anos de experiência em segurança da informação e aplicações, graduado em processamento de dados, trabalhei como professor universitário e participei ativamente como instrutor de treinamento para mais de 6000 desenvolvedores em equipes de TI. Sou pai de duas meninas e trader nas horas vagas.
Related posts
Sem categoria

PFS - Perfect Forward Secrecy: o que é e por que é importante

Antes de começarmos a falar sobre Perfect Forward Secrecy (PFS), vamos entender um pouco sobre o…
Read more
Segurança de Aplicação

Quais temas um treinamento de segurança deve contemplar?

O mercado de desenvolvimento parece estar se conscientizando cada vez mais com relação à…
Read more
NotíciasSem categoria

Conviso e N-Stalker unem forças em segurança de aplicações

A Conviso Application Security, empresa pioneira em segurança de aplicações no país, e…
Read more

Deixe um comentário