segurança e desenvolvimento header blog

Como realizar a unificação da segurança com o desenvolvimento?

Muitos desenvolvedores não aprendem sobre segurança de código nos programas de TI das faculdades. Uma vez que eles se juntam ao mercado de trabalho, acabam geralmente sem tempo para aprender sobre isso também.

A responsabilidade de treinar desenvolvedores nas melhores práticas de segurança de código geralmente recai sobre os profissionais de segurança. Os profissionais de segurança são notoriamente sobrecarregados e muitas vezes falta espaço para treinar desenvolvedores. Assim, as organizações estão se voltando para as experiências de aprendizado AppSec criadas especificamente para equipes de desenvolvimento. Essas experiências de aprendizagem entregam as ferramentas e as skills necessárias para manterem o programa de AppSec em dia.

De acordo com a PeerSpot, a solução número um em aplicação de software de treinamento de segurança é a Veracode Security Labs, que dá aos desenvolvedores os recursos necessários e treinamento prático para enfrentar ameaças modernas e adotar práticas de codificação seguras. Os membros da PeerSpot que utilizam a plataforma compartilharam também o porquê a Veracode merece essa posição no ranking.

Realizando a escolha pela Veracode Security Labs

O Veracode Security Labs empodera os desenvolvedores com o conhecimento e as ferramentas para ajudá-los a identificar potenciais vulnerabilidades dos softwares, em tempo real. Para um vice-presidente de engenharia de uma companhia de alta tecnologia, seus casos de uso primários são para avaliação de segurança abrangente, usando análises estáticas, análises dinâmicas, composição de código fonte e testes de infiltração manuais. Eles também a usam para treino de segurança dos desenvolvedores.

Um engenheiro de segurança de aplicações de uma firma de serviços financeiros, utilizou a Veracode Secure Coding Challenges, uma competição hospedada pela Veracode na qual os membros da comunidade trabalhavam em um estilo de “tempo limitado”. Ele disse diretamente: “Eu sou um desenvolvedor de aplicações, então a Veracode Security Labs é diretamente relevante para meu trabalho. Eles ajudam a clarear problemas comuns de código e a caminhar por meio de maneiras apropriadas de consertá-los”.

Escaneamentos dinâmicos e estáticos de aplicações web é o caso de uso adotado pelo diretor de tecnologia de uma empresa de serviços de tecnologia. Ele explicou: “A aplicação é baseada em um grande provedor. Agendamos verificações em intervalos regulares que dão suporte a vários esforços de conformidade dentro da empresa. O aplicativo tem um design moderno com uma interface de usuário responsiva que se adapta a tela do dispositivo que está sendo usado”.

Benefícios organizacionais

Os membros do PeerSpot estão acolhendo os benefícios do Veracode Security Labs de várias maneiras. Após utilizar a plataforma por dois anos, o líder de tecnologia sentiu que seus desenvolvedores estavam mais cientes a respeito da segurança e escrevendo códigos melhores. Ele elaborou, dizendo: “A opção de e-learning permitiu que os desenvolvedores cavassem profundamente nos problemas de segurança, como os tópicos de limpeza de entrada, saída de registro cuidadosamente configurada e outras fontes típicas de vulnerabilidades. Nós temos uma compreensão melhor da configuração apropriada dos servers web e web proxies também”.

Por outro lado, um arquiteto de softwares em uma empresa, que possui o produto há apenas dois meses, já tem definidos quais os seus recursos favoritos, incluindo a capacidade de como criar um aplicativo seguro, como o WASP ASVS 4.0, que está espalhado pela web e reunido em um só lugar. Ele ainda compartilhou: “Isso pode salvar meses de aprendizado e pesquisa por conta própria”.

O engenheiro de segurança de aplicativos gosta de como a solução percorre um cenário comum, pois geralmente os desenvolvedores herdam uma base de código com problemas e precisam descobrir como corrigi-los. Ele relatou: “A plataforma ajuda a orientar o desenvolvedor por meio da melhor maneira de alcançar esse objetivo. Aprender por meio de uma abordagem prática é muito eficaz”.

Ele também acredita que a aprendizagem prática permite que os desenvolvedores se tornem criadores mais seguros, o que significa que eles são menos propensos a deixar bugs durante a construção. De acordo com ele, “Isso salva tempo e dinheiro a longo prazo, pois a mentalidade de segurança é deslocada para início do ciclo e vida de desenvolvimento de software”.

Recursos mais valiosos dos usuários do PeerSpot

Um chefe de segurança identificou a integração com o Atlassian como um dos aspectos mais valiosos da Veracode, porque isso ajudou a gerenciar os documentos da sua compliance de forma mais automatizada. Ele também notou que muitas outras plataformas de segurança ou não pareciam possuir esse recurso, ou queriam um preço exorbitante para aplicá-lo. Ele comentou: “Integrações automatizadas como essas fazem a compliance muito mais fácil de rastrear e manter. Adicionalmente, as integrações ajudam com processos ágeis como DevOps. Nós somos capazes de agendar coisas como submissões de scan para o Veracode, que ajudam na verificação automática e regular da nossa aplicação web”.

Cristobal R., engenheiro de segurança da informação em uma empresa de serviços de tecnologia, usa a Veracode Security Labs como sua plataforma de aprendizado de segurança primária. Ele mencionou que os desafios de codificação da Veracode foram bem organizados e está feliz em ver que alguns deles ainda tem um navegador embutido, fazendo deles muito convenientes.

Quando questionado sobre seu feature favorito, outro engenheiro de segurança de aplicação de uma firma de serviços financeiros citou a abordagem guiada de orientação ao desenvolvedor, devido à sua ótima maneira de corrigir os problemas na base dos códigos. Ele comentou também, que essa abordagem é extremamente eficaz para ensinar aos desenvolvedores a maneira correta de implementar controles de segurança.

De acordo com suas palavras: “Ser capaz de visualizar o código base e editá-lo para remediar as vulnerabilidades é algo extremamente poderoso. E a melhor parte é que tudo isso é incluso no browser web, então o desenvolvedor não tem que instalar nenhum ambiente de programação ou fazer o download de qualquer coisa para trabalhar no treinamento”.

Conclusão

Com a Veracode, é possível manter os desenvolvedores mais engajados com a segurança. A única coisa necessária, é o pacote de ferramentas certo. Essas afirmações dos usuários no PeerSpot provam isso, afirmando que as experiências de aprendizado criadas com os desenvolvedores em mente podem fazer grande diferença no desfecho de AppSec.

Confira mais sobre os relatos dos usuários da Veracode clicando aqui e, para adicionar esse fabricante ao seu portfólio e adquirir uma ferramenta para ampliar a segurança no ciclo de vida de um aplicativo, clique aqui e converse com o time M3Corp.