Quer ouvir a versão em áudio deste blog post? Clique no player abaixo
Quando falamos com clientes sobre a criação e manutenção de um padrão para gestão de vulnerabilidades – tanto para testes quanto para definição de requisitos, por exemplo – temos por vezes a impressão de estarmos falando sobre algo novo e complexo.
Trata-se realmente de algo um pouco mais difícil de se implementar quando a empresa tem várias equipes, compostas normalmente por muitos desenvolvedores e com uma estrutura que trabalha de forma independente.
Manter equipes grandes trabalhando com os mesmos objetivos, e seguindo um padrão dentro de um processo que muitas vezes permite certa liberdade ao desenvolvedor não é das tarefas mais fáceis.
Playbooks na Gestão de Vulnerabilidades
Em nossas consultorias de implementação de um processo de desenvolvimento seguro, ou mesmo durante a realização de testes e retestes de algum código, é comum que nossos clientes nos apresentem uma dúvida:
“Mas como vocês garantem que todos os analistas de vocês vão realizar os testes seguindo as mesmas etapas?”
O que a falta de padronização pode causar?
Mas antes de falar sobre como resolvemos este problema de garantia de qualidade, queremos falar um pouco sobre o que a falta de controles de segurança pode trazer para as empresas.
Quando uma empresa não consegue criar mecanismos que possam garantir que suas equipes sigam e mantenham um certo grau de padronização nas suas atividades, fica muito difícil garantir que todos os serviços realizados seguirão um mesmo princípio ou uma mesma sequência.
Imagine a seguinte situação: um analista é escalado para a realização de um teste em uma nova parte de um código. Como mandam as boas práticas, este analista deve ser diferente dos analistas que participam do desenvolvimento.
Durante o processo de validação do código, o analista, que, neste caso, já é experiente, realiza uma série de testes e chega ao resultado final, o qual é apresentado por meio de um relatório à equipe.
Ao final das correções, a equipe de desenvolvimento informa às equipes de teste que já podem proceder com a validação das correções, realizando novamente um teste. Mas, neste caso, o teste precisa garantir que as correções foram bem feitas.
Então, desta vez outro analista irá realizar os testes. Digamos que este profissional seja um pouco menos experiente que o anterior. Neste caso, pela troca de analistas em um teste, uma consequência grave é a possível a perda de contexto e de muitas informações sobre o teste.
Como garantir a qualidade na revisão de código?
O que sempre surge como pergunta é “Como garantir a qualidade e a execução de testes mesmo sendo feitos por profissionais diferentes?”
Ao não conseguir garantir esta sequência de atividades e mesmo o cumprimento de atividades básicas, a empresa se coloca em risco, permitindo que erros e esquecimentos estejam presentes em seus resultados.
Isso é muito comum, e pode trazer para dentro do empresa um risco totalmente desnecessário, que pode ser resolvido facilmente com o auxílio da Conviso Platform. A Conviso Platform é uma plataforma Software as a Service (SaaS) que suporta todo o ciclo de segurança em desenvolvimento de software e gestão de vulnerabilidades.
Como a Conviso Platform pode garantir a qualidade na revisão de código
Lembra daquela pergunta lá do início do artigo, que frequentemente ouvimos de nossos clientes?
“Como vocês garantem que todos os analistas de vocês vão realizar os testes seguindo as mesmas etapas?”
Em todos os nosso serviços, usamos nossa plataforma Conviso Platform, que tem uma de suas funcionalidades focadas em garantir que testes e serviços sejam realizados seguindo um processo previamente planejado.
A funcionalidade de playbook nos permite criar um plano de ação baseado em tarefas que devem ser realizadas.
Estas tarefas, em alguns casos, podem ser colocadas como obrigatórias para o fechamento de um projeto, o que garante ao gestor um controle total sobre a execução.
Como funciona o playbook
Ao seguir o playbook, o usuário é conduzido por um cenário previamente planejado e pensado dentro das melhores práticas. A criação dos playbooks pode ser feita tanto pela equipe da CONVISO quanto pela própria equipe do cliente, que pode criar suas próprias metodologias.
A realização de tarefas baseadas nos playbooks ajuda, de forma visual, que o gestor e a toda a equipe mantenham um padrão de atividades que não permite margens a erros.
A Conviso Platform é desenhado para entregar ao usuário um conjunto de funcionalidades que permita que ele não se ocupe com as tarefas mais pesadas do planejamento, para que fique focado no que realmente importa: o resultado.
Com a Conviso Platform, a empresa tem total controle sobre a criação de novas metodologias, o que permite a seus analistas um resultado mais seguro, do ponto de vista de padronização.
É uma plataforma completa, que entrega a seus usuários total controle sobre a segurança de seus códigos além de auxiliar na integração com diversas outras ferramentas.
Nossa área comercial terá um grande prazer em apresentar a você todas as funcionalidades da Conviso Platform. Entre em contato com a CONVISO e saiba como a Conviso Platform pode ajudar a sua empresa.
