Resumo da SnykCon: criando um programa de AppSec com foco nos desenvolvedores

Criar um programa de segurança de aplicativos pode ser desgastante. O fluxo constante de conteúdo que incentiva as equipes a começar desde cedo é inspirador, mas não ajuda ninguém a dar os primeiros passos. A busca por organizações com iniciativas maduras em AppSec pode fazer essa lacuna parecer intransponível – e um plano de ação parecer ilusório. Como tudo no universo do desenvolvimento de software, a segurança de aplicativos é uma jornada, que se torna muito mais prazerosa com alguns princípios norteadores.

A SnykCon do ano passado compartilhou diversas dicas e práticas recomendadas em AppSec, mas duas palestras de clientes da Snyk deram destaque ao processo de como criar e manter uma cultura de desenvolvimento seguro nas organizações. Em uma delas, Per Olsson, consultor de segurança de aplicativos da Visma, compartilhou as lições que aprendeu na sua transição de desenvolvedor para assessor de segurança. Na outra, reunimos um painel de três especialistas em segurança de diferentes setores para uma discussão sobre como criaram programas de segurança efetivos do zero.

Essas palestras geraram discussões sobre como navegar as etapas, os marcos e os desafios de um programa de AppSec, oferecendo um mapa para a criação de uma cultura de segurança de sucesso.

Começando um programa de AppSec do zero

O que é AppSec?

Ao criar um programa do zero, é importante compreender o que significa segurança de aplicativos, bem como quais são suas necessidades específicas. Olsson fez uma ótima definição: “AppSec não se refere à segurança de aplicativos”. A segurança começa com as pessoas. Todas as pessoas que compõem uma organização – desenvolvedores, gerentes, equipes de controle de qualidade, design, jurídico – são a base de um programa de segurança. A maioria dos incidentes de segurança é causada por erro humano, e, quando as agendas estão apertadas, as equipes podem menosprezar a proteção em favor de recursos ou outras tarefas com um retorno mais claro sobre o investimento. Dessa forma, o primeiro passo é priorizar a segurança.

Comece pequeno

Uma ideia comum entre todos os especialistas na SnykCon era a de começar pequeno. Grandes programas de segurança não surgiram da noite para o dia, e é preciso evitar comparações nos primeiros estágios de desenvolvimento. A equipe de segurança da Visma começou como um pequeno grupo de interesse com um gerente e vários desenvolvedores. Nicholas Vinson, chefe de DevSecOps da Pearson, e

Gagan Bhatia, chefe de entrega de cibersegurança da 10x Banking, incentivaram os gerentes a incorporar um engenheiro de segurança experiente a uma pequena equipe de desenvolvedores interessados para colaborar na identificação de requisitos e possíveis ameaças. É importante compartilhar práticas seguras de programação com todos os desenvolvedores e para estimular sua criatividade na implementação da AppSec no SDLC. O objetivo final deve ser uma mudança cultural que priorize a programação segura, e isso começa com as pessoas.

Abra mão do controle

Por fim, a segurança precisa abrir mão (parcialmente) do controle. A equipe de segurança deve ser um guia e um recurso para os desenvolvedores, não uma carcereira. A cultura de silos que envolve os métodos tradicionais de segurança deve ser trocada por transparência e colaboração de diferentes setores. Cada equipe em uma organização tem diferentes necessidades, metas e métodos de entrega. Com ferramentas acionáveis e orientação, as equipes de segurança conseguem assumir o controle de seus programas de AppSec e fortalecer o compromisso com as práticas de programação segura.

Como refinar uma abordagem madura de AppSec

Melhoria contínua

O processo de aprimoramento começa assim que seu programa dá os primeiros passos. À medida que a confiança aumenta entre as equipes de segurança, desenvolvimento e gerenciamento, é possível avaliar as ferramentas e os fluxos. Para fazer isso, Olsson entrevistou as equipes de desenvolvimento com quem trabalhava. Isso permitiu à crescente equipe de segurança aumentar a eficiência, conferir se o plano de segurança atendia às necessidades dos desenvolvedores e localizar ameaças que passavam pela verificação. Com as tarefas de segurança iniciando mais cedo no processo, a automação e os testes contínuos oferecem suporte ao programa de AppSec com dados consistentes.

Definição de sucesso

Com frequência, as equipes de segurança em expansão têm dificuldades para quantificar o sucesso. Ao contrário da entrega de recursos, as iniciativas de segurança nem sempre alcançam resultados visíveis de imediato. Afinal, como medir as violações que não existem? E, se por um lado as ferramentas fornecem uma abundância de dados, contextualizá-los pode ser um desafio. Ao começar a definir o que representa o sucesso de um programa de segurança, é importante “saber algo que não se sabia ontem”, comentou Stefan Steglich, gerente de produto de segurança de aplicativos da Skybetting & Gaming.

As maneiras de medir sucesso devem corresponder à mensagem do seu programa, e não o contrário. Além disso, é preciso comemorar as primeiras vitórias. Seja um feedback positivo sobre o programa em geral, seja o aumento da interação com as ferramentas de segurança escolhidas, é importante fazer uma breve pausa para reconhecer as conquistas alcançadas.

Métricas práticas

Em relação a métricas práticas, Vinson recomenda rastrear três tipos: requisitos de design, métricas operacionais e avaliações de maturidade da segurança. Os requisitos de design são o resultado da modelagem de ameaças. Essas métricas determinam se o programa de AppSec aborda todos os riscos em potencial que foram identificados e ajudam a descobrir novas ameaças. As métricas operacionais são estatísticas sobre vulnerabilidades e podem ser resultados dos testes SAST, número de correções etc. Sua análise pode revelar tendências de vulnerabilidades e ajudar a tornar os requisitos de design mais precisos. Por fim, uma avaliação da maturidade da segurança fornece contexto para as métricas anteriores e ao programa como um todo. Essa avaliação mais ampla ajuda a identificar o estágio atual na jornada da AppSec e a determinar se a organização está pronta para avançar. Dados sobre necessidades não atendidas, a capacidade da equipe de lidar com as tarefas de segurança e a adoção de princípios de segurança em todos os níveis são vitais para planejar os próximos passos.  

A AppSec deve apoiar os desenvolvedores

Não importa se sua equipe de segurança tem 1 ou 100 funcionários: os desafios são similares. Definir um plano de segurança, desenvolver as métricas apropriadas e explicar tudo isso aos membros da equipe é um processo contínuo que nunca é verdadeiramente concluído. As ferramentas escolhidas para dar suporte aos programas de AppSec em desenvolvimento exercem um papel importantíssimo na eficácia. Os programas que generalizam ou usam modelos teóricos provavelmente não terão uma abordagem de segurança sob medida. As soluções de software de verificação que fornecem uma riqueza de dados podem ser úteis aos especialistas em segurança, mas não para os desenvolvedores que queremos capacitar.

É por isso que a Snyk foi projetada com foco nos desenvolvedores. Nossa plataforma ajuda as organizações a proteger seus aplicativos em uma única plataforma para as equipes de segurança e desenvolvimento. Se você consegue encontrar e corrigir vulnerabilidades à medida que escreve o código (em até cinco minutos), também consegue remover gargalos dos seus processos de AppSec. Comece seu teste grátis hoje mesmo e descubra como ajudamos milhões de programadores a desenvolverem com rapidez e segurança.