Suas aplicações são seguras?

Conheça a Conviso!

Os erros mais comuns na contratação de testes de segurança e code review

Code Review

Conheça quais são os erros mais comuns que as empresas cometem ao terceirizar a segurança de aplicações

Quando empresas que lidam com dados sensíveis de clientes, meios de pagamentos e outras informações que são alvos comuns de ações maliciosas buscam melhorar a segurança de seu processo de desenvolvimento, as primeiras precauções tomadas pelas equipes de segurança costumam ser os pentests e demandas de code review. Porém estas práticas normalmente são rechaçadas pelas equipes de desenvolvimento ágil, pois representam etapas adicionais na esteira de desenvolvimento que podem desacelerar o processo de entrega de software.

Mas com a adoção das práticas adequadas é possível agregar o code review de segurança ao processo de desenvolvimento ágil, sem que isso represente um gargalo, bem como instituir outras práticas de segurança na esteira de desenvolvimento sem impor o caos ao processo e, principalmente, sem comprometer a escala.

Mitos sobre Segurança no Desenvolvimento Ágil – É possível escalar com Code Review?  

Neste vídeo, o CEO da Conviso, Wagner Elias, e o Especialista Rodrigo Maues discutem os principais mitos do processo de desenvolvimento seguro de software e os resultados desastrosos que as empresas podem experimentar ao buscar soluções rápidas para aplicar segurança no seu ciclo de desenvolvimento apenas por meio de ferramentas. Muitas vezes, a adoção dessas ferramentas pode até causar  mais problemas, por apresentar elevado índice de falsos positivos, demandando grande tempo e energia para validar os resultados, ou deixando ocultas inúmeras vulnerabilidades presentes no software que não são detectáveis pelas ferramentas, como erros de lógica de negócio (falsos positivos).

Maturidade em processo de desenvolvimento seguro vai muito além de seguir uma cartilha de boas práticas, utilizar ferramentas automatizadas e contratar pentests pontuais: a segurança de aplicação deve começar dentro dos times de desenvolvimento, em primeiro lugar, e não ser encarada apenas como uma atribuição da área de segurança. Oferecer treinamentos como forma de capacitação em desenvolvimento seguro, realizar testes periódicos, code reviews e utilizar ferramentas de análise automatizada: a combinação de tudo isso, associada a uma cultura de segurança de software no desenvolvimento ágil é o que vai propiciar maturidade em segurança na empresa. A partir dessa prática contínua, os desenvolvedores poderão passar a obter aprendizado constante em segurança para saber lidar com os desafios de codificação segura  no futuro.

A isso damos o nome de Continuous Application Security. A segurança contínua integrada ao pipeline de desenvolvimento habilita a abordagem de DevSecOps, assunto tão em voga no momento.

Falamos mais sobre isso no nosso Webinar que foi ao ar na última Quinta-feira, e disponibilizamos ele aqui, na íntegra, caso você não tenha tido a chance de ver.

Essa discussão faz sentido para você? Queremos saber o que você achou, não se esqueça de deixar seu comentário!


Tags

Deixe um comentário

topo
%d blogueiros gostam disto: