Três armadilhas do AppSec que todo líder de segurança pode evitar

1. Segurança como pensamento tardio

Os desenvolvedores superam em muito os especialistas em segurança na maioria das organizações. Fazer com que os desenvolvedores criem código e envolver a segurança em estágios posteriores do ciclo de desenvolvimento é uma batalha perdida devido à alta velocidade e ao volume de lançamentos. Essa abordagem não é dimensionada para cobrir todas as aplicações e impede que as vulnerabilidades sejam descobertas até que seja tarde demais, resultando na entrega de código vulnerável para a produção.

Solução: mover a segurança para a esquerda e dimensionar os esforços de segurança para cobrir todas as aplicações, começando pelos estágios iniciais de desenvolvimento.

2. Pontos de isolamento e atrito entre desenvolvimento e segurança

Tradicionalmente, a comunicação entre desenvolvedores e equipes de segurança tende a ser movida por problemas ou incidentes. Mas a comunicação em massa apenas por e-mail, relatórios em PDF ou problemas do GitHub leva a atritos e é frustrante para todos. Para os desenvolvedores, as questões levantadas pela segurança podem não ser importantes para o desenvolvimento no dia a dia ou podem incluir feedback para um projeto que já deveria ter sido finalizado. A correção desses problemas apenas aumenta a tensão relacionada ao reagendamento de tarefas e esforços redobrados, o que torna a segurança um obstáculo para a inovação. Para as equipes de segurança, é frustrante não estar envolvido durante as fases de arquitetura, projeto e nas fases iniciais de desenvolvimento. Pode também ser um desafio explicar os riscos de segurança da aplicação e da organização para desenvolvedores que não têm anos de experiência em segurança. No final, uma comunicação deficiente leva a menos colaboração e empatia em geral.

Solução: tornar a segurança parte do desenvolvimento integrando ferramentas ao fluxo de trabalho do desenvolvedor. Promover discussões e colaboração assíncrona entre ambas as equipes.

3. Segurança como um exercício de ticar itens

Assim como a importância da segurança varia entre as organizações, as práticas reais de segurança também variam dentro das próprias organizações. A diferença entre as políticas formais de segurança e a forma como elas são postas em prática pode ser confusa e tornar ainda mais complicada a priorização das questões de segurança.

Lembre-se também de que a segurança da aplicação é apenas uma pequena parte dos esforços gerais de segurança cibernética de uma organização e tende a ser isolada do desenvolvimento e do CI/CD. Isso leva a maus hábitos como:

Valorizar mais a quantidade do que a qualidade. O foco em um grande número de resultados de verificações de segurança de baixa qualidade ou vulnerabilidades não resolve problemas maiores e apenas aumenta o trabalho dos desenvolvedores. Tornando a segurança um problema de desenvolvimento. Conectar os resultados brutos da verificação de segurança aos detectores de problemas e simplesmente presumir que os desenvolvedores vão corrigir todos eles dessensibiliza os desenvolvedores para os problemas relacionados à segurança. Não medir valor. Como qualquer outra iniciativa, o valor e o ROI dos esforços de segurança da aplicação devem ser continuamente medidos e avaliados. Caso contrário, a falta de dados pode atrapalhar o avanço da organização e não mostrar provas de que estão sendo feitas melhorias na segurança.

Solução: para uma correção imediata, concentre-se em abordar um número limitado de problemas reais de segurança e, em seguida, priorize-os e apresente-os aos desenvolvedores, em vez de compartilhar uma enxurrada de falsos positivos. Em uma escala maior, procure ferramentas de segurança que possam “codificar” novos problemas de segurança e evitar que sejam mesclados a um branch da produção. Lembre-se: suas ferramentas de segurança devem melhorar o código; portanto, continue medindo o valor e o impacto do seu programa de segurança da aplicação ao longo do tempo.

Dúvidas sobre segurança da aplicação? Estamos aqui para ajudar.	sales@github.com https://github.com/features/security