O GitHub é uma das principais plataformas de hospedagem, desenvolvimento e gerenciamento de código da internet. De acordo com os dados do relatório Octoverse de 2021, são mais de 73 milhões de desenvolvedores que utilizam a plataforma, com mais de 16 milhões de usuários adicionados somente em 2021. São milhões de pull requests e códigos sendo commitados diariamente!
Você também pode ouvir esse conteúdo:
Nesse contexto, a falta de revisões de segurança na etapa de codificação do fluxo de desenvolvimento cria brechas para possíveis vulnerabilidades. Como resultado, tem se tornado cada vez mais importante para as organizações se certificar de que a cada nova feature, API ou versão da aplicação exija um novo processo de revisão de código, além de testes orientados à segurança.
Para garantir que assim que um novo commit seja feito, ocorra um processo de code review, construímos a integração da nossa plataforma com o GitHub.
Neste post, vamos orientá-lo a garantir a segurança do código de sua aplicação armazenada e gerenciada no GitHub utilizando a Conviso Platform, tratando do controle das novas versões do seu código e garantindo a sua proteção a possíveis ameaças.
Realizando Integração para a segurança contínua da sua aplicação
Ao falar sobre o ciclo de desenvolvimento de uma aplicação, sempre evidenciamos a importância da integração e orquestração de ferramentas para construir um processo ágil e seguro.
Através da Conviso Platform é possível implementar o processo de desenvolvimento de forma centralizada e integrada, entregando aos times dados e informações devidamente estruturadas.
Como funciona a integração do Github com a Conviso Platform?
A integração da Conviso Platform com o GitHub é feita através de uma API, construída pelo nosso time de devs com as melhores práticas de desenvolvimento. Essa API permite a integração por meio de esteiras de pipelines de CI/CD e também via Defect Tracker, recurso para criação de tickets.
A integração da sua pipeline de CI/CD é executada seguindo as etapas de acordo com este tutorial de nossa documentação.
Para a integração de Defect Tracker, referente à criação de issues no GitHub, é preciso fazer o login na Conviso Platform, escolher a opção “Integrações” do menu, ir na categoria Defect Tracker e ir em “Integrate”, está pronto! Esse tutorial pode ser conferido aqui.
Agora, vamos falar especificamente sobre os benefícios dessa integração e como a plataforma contribuirá com a segurança no seu ciclo de desenvolvimento.
Revisar as versões de código
Em um processo sistemático de construção de software (SDLC), a etapa de revisões de segurança geralmente acontece apenas no final, quando a aplicação está pronta.
Com a integração da Conviso Platform, é possível construir um processo de revisões contínuas, centralizando as informações das vulnerabilidades em um único lugar e trazendo medidas de segurança logo no início do fluxo. Isso faz com que as equipes reduzam o tempo para corrigir vulnerabilidades de software.
Inserindo esse processo de segurança mais à esquerda do fluxo de desenvolvimento (Shift-Left), a rotina do time de desenvolvimento ganha tempo ao identificar ameaças logo no início e durante a codificação.
Além disso, todo o processo de revisão por meio de uma única plataforma significa garantir que o conhecimento adquirido com a aplicação da solução ao longo do tempo seja mantido e repassado aos novos membros da equipe.
Determine testes e revisões de segurança contínuas
Com a integração, os findings de testes dinâmicos (DAST), estáticos (SAST), manuais (Pentests) e demais testes (SCA, IAST) são todos centralizados em um único lugar. É importante destacar que a plataforma permite controlar tanto a revisão automatizada quanto a revisão manual sendo a segunda mais efetiva e complementar a automatizada.
Como garantir que suas dependências open source e pacotes de terceiros estejam livres de vulnerabilidades?
Realizando a integração da sua esteira de desenvolvimento com a Conviso Platform você tem acesso ao Secure Pipeline. Através deste produto, é possível analisar os pacotes de terceiros utilizados em sua aplicação do GitHub via Software Composition Analysis (SCA), garantindo que vulnerabilidades em componentes terceiros não sejam inseridas em seu código.
Além disso, com o Secure Pipeline é possível orquestrar e gerar inteligência no processo de automação de análises na esteira, testando periodicamente o código da sua aplicação. Em outras palavras, os testes de segurança são automatizados em todo o Software Development Life Cycle (SDLC) e não somente em alguns estágios.
Orquestração de ferramentas
Através dessa integração com a Conviso Platform, você implementa o Application Security Testing Orchestration (ASTO) e passa a usufruir da integração de análises de segurança a sua pipeline de desenvolvimento ou produção. Ele executa automaticamente as ferramentas de segurança necessárias no momento certo, com base na importância das alterações de código, na pontuação total de risco e nas próprias políticas de segurança da organização.
É possível integrar a Conviso Platform com as principais ferramentas de segurança do mercado ou utilizando nosso próprio bundle de ferramentas open source para encontrar vulnerabilidades. Com os produtos da plataforma, os processos de segurança são implementados facilmente e em escala corporativa.
Todas as vulnerabilidades encontradas no seu código do GitHub são tratadas na própria plataforma, apresentando dados essenciais sobre os problemas e orientações de especialistas para o seu tratamento. Assim, você impede que usuários adicionem novas vulnerabilidades ao código fonte.
Como resultado, é possível implementar uma avaliação de code review contínua, mantendo-o mais seguro.
Gerenciar e controlar vulnerabilidades
A nossa plataforma permite a integração com diversas ferramentas de defect tracking. Essa integração permite que tickets ou tasks sejam criados automaticamente quando novas vulnerabilidades são identificadas no seu código do GitHub.
Como resultado, a plataforma remove descobertas duplicadas, fornecendo uma lista priorizada de falhas de segurança, otimizando os esforços de correção.
Dessa maneira, facilitará significativamente o trabalho do desenvolvedor que terá mais tempo para trabalhar na resolução desses problemas, visto que para isso não será necessário a troca constante de ferramentas.
É importante lembrar que o gerenciamento de vulnerabilidades é a base de uma estratégia de segurança robusta. Problemas identificados no seu código do GitHub contarão com a Conviso Platform para sua gestão e produção de relatórios de segurança avançados.
Com esses dados, é possível falar de forma inteligente sobre o status/tendências da segurança de software em sua organização, além de ilustrar o progresso desses processos.
Mostrar o caminho para a Programação Segura
Quando você tem o controle e gerenciamento das vulnerabilidades da sua aplicação no GitHub, você tem dados importantes sobre as principais lacunas em técnicas de codificação segura do time de desenvolvimento.
A Conviso Platform combina as melhores práticas de segurança de aplicações em um serviço baseado em dados e indicadores dos desenvolvedores, eliminando vulnerabilidades na etapa de codificação do ciclo de desenvolvimento.
Ou seja, acessando o People & Culture da Conviso Platform, você pode identificar os gaps em conhecimento sobre programação segura, que precisam ser desenvolvidos através de exercícios técnicos e treinamentos fornecidos com base nesses indicadores.
As empresas podem medir e acompanhar o progresso dos desenvolvedores em exercícios técnicos de codificação segura, ajudando-os a permanecer em conformidade com as regulamentações e certificações do setor.
Lembrando que a segurança vai além de ferramentas, também é processo e cultura; a Conviso Platform suporta todas elas!
