Os ataques massivos de escala global como o WannaCry e Petya se tornam cada vez mais recorrentes e devastadores, é imprescindível que as empresas que atuam com desenvolvimento de software se preocupem com a segurança dos seus produtos para não serem engolidas pelos ataques nem pelo mercado.

Novas vulnerabilidades e exploits são descobertos e mapeados aos montes, diariamente. Por isso, testes e correções de segurança são etapas essenciais em qualquer ciclo de desenvolvimento de software (termo conhecido em inglês: Software Development Life Cycle – SDLC). A maioria desses modelos amplamente adotados pelo mercado – como o Capability Maturity Model Integration (CMMI) e o Team Software Process for Secure Software Development (TSP) – tem por design a função de garantir a qualidade e proteção do software.

Esse conceito trazido pela explosão do movimento “DevOps” e as maravilhas da automação. Assim, os testes de qualidade e a correção de bugs antes da entrega em ambientes de produção ficaram cada vez mais rápidos e reduziram muitos custos e perdas devido a bugs, e as equipes de segurança estão cada vez mais desafiadas a garantir a segurança sendo que o tempo entre uma entrega e outra está diminuindo. Assim,surge um novo conceito para revolucionar todo o mindset tradicional do DevOps: o DevSecOps, que é a interligação de ferramentas e testes de segurança automatizadas nos fluxos e pipelines de código no DevOps das companhias.

Para isso, tecnologias mencionadas pelo IT Glossary do Gartner como SAST (Static Application Security Testing), DAST (Dynamic Application Security Testing) e IAST (Interactive Application Security Testing) são incorporadas como etapas no SDLC de aplicações exigindo o mínimo esforço manual possível e o maior retorno para a qualidade do produto sendo desenvolvido.

Adicionalmente, caso a companhia queira ir além dos sistemas e tecnologias que fazem a localização de vulnerabilidades na aplicação, pode-se recorrer serviços de Pentest (Penetration Testing), os quais são fornecidos por consultores e especialistas na atividade de invasão, intrusão e localização de falhas de segurança em software por meio da simulação de um ataque malicioso.

Em defesa da informação, o segredo é pensar em quanto vai gastar, mas sim no quanto vai deixar de perder graças a proteção fornecida aos seus serviços e sistemas. Pois uma vulnerabilidade causa impactos negativos para uma marca. Tais como, multas, sansões rigorosos e abandono por parte dos consumidores por não confiarem mais na empresa. Afinal, pensando como cliente, não aceitaria um provedor de software que não se preocupasse com a Integridade, disponibilidade e confidencialidade do sistema! Então, o cliente também não!

Angelo Moura

Engenheiro de Software e DevSecOps na SEC4YOU.