Com o início de um novo ano, não é incomum que as pessoas aproveitem a oportunidade para adotar melhores práticas e princípios e abracem novas formas de pensar em suas vidas pessoais e profissionais.
As equipes de desenvolvimento de software sempre se esforçam para dominar seus negócios, melhorar suas práticas e fornecer aplicativos e serviços seguros, especialmente porque os riscos de segurança de aplicativos estão aumentando e as expectativas são maiores do que nunca ( agora espera-se que 53% dos desenvolvedores assumam total responsabilidade pela segurança em seus organizações).
No entanto, apesar das violações contínuas por falha de código inseguro, o treinamento de codificação segura para equipes de desenvolvimento ainda está quase completamente ausente dos programas de ciência da computação nas principais faculdades dos EUA. Diante desse “dilema AppSec”, é vital que 2023 se torne o ano de novos hábitos seguros em todo o ciclo de vida de desenvolvimento de software ( SDLC ).
Fazendo hábitos seguros aderirem à educação de segurança
As resoluções de ano novo podem falhar rapidamente. Às vezes, a falta de foco ou comprometimento pode ser produto de conhecimento, educação ou apoio insuficientes para conduzir mudanças comportamentais duradouras. Os que estão no SDLC podem não ter o conhecimento profundo de segurança de aplicativos de que precisam – e podem não saber exatamente como as falhas no código afetarão o produto, os negócios e o cliente e o que deve ser feito para remediar a falha.
Para permitir hábitos mais seguros para desenvolvedores e todos que oferecem suporte à entrega de código seguro , a educação e uma mentalidade de segurança em primeiro lugar precisam se tornar prioridades. A conscientização é muito boa, mas eles devem ser capazes de adquirir profundo conhecimento e compreensão de como implementar os principais princípios de segurança necessários para resolver tipos novos e antigos de vulnerabilidades de código.
Veja as falhas de injeção como exemplo: essa categoria de vulnerabilidades esteve na lista das 10 principais da OWASP nos últimos dez anos e continua sendo uma das três falhas mais críticas de aplicativos da web. As vulnerabilidades de injeção também são algumas das mais fáceis de mitigar – pode levar apenas 10 minutos de treinamento para educar os desenvolvedores sobre como lidar com esse problema. Mas os desenvolvedores que procuram reduzir a chance de vulnerabilidades SQLi em seu código não poderão se comprometer com um hábito seguro duradouro se não forem primeiro instruídos sobre os princípios básicos da vulnerabilidade e como evitar falhas semelhantes. O treinamento pode dar o pontapé inicial na mudança e melhorar a segurança do aplicativo.
Obviamente, a educação em SQLi não será relevante para todos. Cada função no SDLC precisará adotar diferentes hábitos seguros para melhor oferecer suporte à codificação segura.
Líderes de desenvolvimento
Embora eles próprios não estejam escrevendo códigos, os líderes de desenvolvimento precisam se tornar mais responsáveis pelo desenvolvimento de aplicativos com menos vulnerabilidades. Um hábito seguro para esses profissionais pode ser ver a segurança como um “recurso salva-vidas” (ou seja, uma prioridade não negociável), o que significa que, se houver vulnerabilidades no código, um aplicativo não será enviado.
Gerentes de produtos e projetos
Frequentemente, as organizações são desafiadas por silos de segurança e baixa colaboração entre as equipes. Os gerentes de produto e projeto devem trabalhar de forma mais proativa com os desenvolvedores para garantir que os requisitos sejam detalhados e garantir que a segurança seja vista como uma prioridade em qualquer novo aplicativo ou serviço. Por exemplo, discussões sobre modelagem de ameaças devem ocorrer no início do processo de design para aumentar a produtividade.
Engenheiros de software e experiência do usuário (UX)
As revisões regulares de código já são um hábito para quem está desenvolvendo código. Desenvolvedores e especialistas em UX que desejam entender melhor onde os conceitos de segurança são aplicados podem recorrer a colegas de confiança e solicitar que as revisões de código também incorporem uma avaliação de sua segurança. Ao “empilhar hábitos” de revisões gerais e análises de segurança, esses novos hábitos seguros têm maior probabilidade de se tornarem duradouros.
Gerentes de garantia de qualidade (QA)
Os gerentes de controle de qualidade precisam ver a segurança em pé de igualdade com a funcionalidade ao analisar estratégias de “velocidade para o mercado”. Garantir que a automação de teste valide não apenas a qualidade, mas também a segurança de um aplicativo será, portanto, um hábito seguro crucial para reduzir o número de vulnerabilidades presentes após o lançamento.
Todos esses hábitos são mudanças relativamente pequenas e alcançáveis que podem ter um impacto significativo na segurança dos aplicativos. No entanto, sem educação persistente e programática sobre a importância da segurança e como ela pode ser alcançada, esses hábitos sofrerão o destino da maioria das resoluções de Ano Novo e se dissolverão com o tempo.
FONTE: HELPNET SECURITY