Historicamente, a segurança tem sido tratada como algo secundário no setor de TI. Nos anos mais recentes, porém, tem havido pressão para introduzir’segurança desde o design’para garantir que os produtos sejam desenvolvidos com as melhores práticas em mente.
Falamos com David Melamed CTO de Jit para saber mais sobre a integração de segurança e como as ferramentas de segurança podem ser usadas por desenvolvedores e não apenas por profissionais de segurança.
BN: Como você se envolveu no espaço de segurança de desenvolvimento?
DM: Como engenheiro de software (há muito tempo), entendi que a segurança é uma peça crítica para a entrega de software de alta qualidade. Ao longo dos anos, investi mais tempo e esforço para estudar o domínio e tive a oportunidade específica de colocar a mão na massa na segurança da nuvem na CloudLock (posteriormente adquirida pela Cisco). No escritório do CTO, realizei uma pesquisa profunda sobre ameaças de segurança na nuvem do mundo real e fui um dos pesquisadores que contribuíram para as 10 principais ameaças à segurança sem servidor (antes de o Serverless decolar como agora). Hoje, na Jit, trouxe esse conhecimento de domínio de muitos anos como desenvolvedor prático, arquiteto e pesquisador de segurança para cobrir todo o escopo da segurança de ponta a ponta por meio de uma estrutura aberta e acessível a todos.
BN: Quais são os principais desafios com a implementação de ferramentas de segurança?
DM: Em poucas palavras–há muitos.
O simples a diversidade e a quantidade de ferramentas de segurança tornam esse cenário realmente difícil de navegar. Não apenas existem diferentes categorias de detecção a prevenção, verificação de código, detecção de vulnerabilidade em tempo de execução, mas também podem vir de várias formas, de executáveis e scripts a ferramentas baseadas em API, SaaS e pacotes de código aberto. O maior e mais comumente observado desafio, porém, é que cada uma dessas ferramentas é um mundo de conhecimento de domínio em si e vem com sua própria’linguagem’, método de implementação, interface e saída. Tudo isso junto cria uma curva de aprendizado íngreme para alcançar a cobertura de segurança de ponta a ponta para as várias camadas das pilhas nativas da nuvem de hoje, bem como um longo’tempo para cobertura de segurança total’.
Embora a peça de segurança mais crítica em tal paisagem é ter um plano predefinido, essencialmente uma estrela do norte para a segurança do seu produto. Isso ocorre porque, mesmo que você integre todas as ferramentas certas, mas sua meta de segurança não esteja bem definida, você nunca saberá se está gerenciando corretamente sua postura de segurança e se existem lacunas significativas na segurança de seu produto.
BN: Como as equipes devem integrar a segurança ao processo de desenvolvimento?
DM: Incorporar a segurança ao desenvolvimento deve começar logo na primeira linha do código e assim que uma prática e cultura, mesmo antes disso nas fases de design e modelagem de ameaças. Existem tantas camadas das quais nossos produtos são compostos hoje-desde o código até as integrações e terceiros (geralmente chamados de cadeia de suprimentos), infraestrutura-com uma diversidade de tempos de execução e muito mais. Tudo isso junto criou muitos pontos de entrada para possíveis invasores, e nenhum deles pode ser ignorado.
Dito isso, acreditamos que as equipes podem começar pequenas e iterar com uma abordagem de segurança mínima viável–semelhante a um MVP, você não precisa construir uma fortaleza desde o primeiro dia, apenas um plano básico que fornecerá o conjunto mínimo de controles para cobrir as principais explorações em todas essas categorias. Existem muitas ferramentas de código aberto realmente excelentes para você começar, temos um resumo muito bom em nosso blog do Top 5 Open Source Security Tools que todos os desenvolvedores devem conhecer (e um boa conversa!)
DM: A segurança de código aberto evoluiu incrivelmente ao longo dos anos e hoje há uma quantidade substancial de ferramentas de segurança de código aberto incríveis-que mudaram o jogo para o setor. De OWASP ZAP (o scanner de aplicativos da web mais amplamente adotado–mantido por nosso distinto engenheiro, Simon Bennetts), para Gileaks que Jit escolheu para apoiar e patrocinar, entre muitos outros da KICS, para Prowler, Semgrep e muito mais.
Esses projetos reduziram a barreira de entrada para segurança, onde até o momento grande parte do cenário de segurança foi fechado e pacotes premium de software que nem sempre são acessíveis a empresas menores e em crescimento. Muitas ferramentas de segurança de OSS são as melhores da categoria hoje e fornecem uma cobertura muito boa para necessidades comuns e serviram para fornecer a inovação necessária, bem como entender como a experiência de segurança (semelhante à experiência do desenvolvedor ou do usuário) deve ser para realmente permitir ampla adoção.
BN: Qual é a sua opinião sobre o futuro da segurança para empresas com equipes de desenvolvimento em ritmo acelerado?
DM: Empresas que não saber como incorporar segurança em fluxos de trabalho de desenvolvedor nativos em organizações de engenharia de alta velocidade ficará para trás. Não há tempo para fricção ou curvas de aprendizado, as ferramentas de segurança precisam ser otimizadas para os desenvolvedores. Eles precisam fornecer resultados claros e não apenas ser informativos, com foco em serem acionáveis com correção integrada. Acreditamos que as ferramentas de segurança que mudarão o jogo são aquelas que vêm com uma mentalidade de corrigir primeiro e não apenas voltadas para problemas (os desenvolvedores estão cansados de longas listas de vulnerabilidades que sabem como corrigi-las).
Além do mais, a outra metade disso é que, eventualmente, com o cenário de ameaças crescente e em constante evolução, veremos que as ferramentas de segurança (desenvolvimento) que acertam isso acabarão por ser o facilitador (sim, você ouviu corretamente-o facilitador) da engenharia de alta velocidade com segurança. As apostas são muito altas hoje, e as empresas estão a um pull request e a uma violação de um grande desastre. As organizações de engenharia que serão capazes de entregar rapidamente, mantendo a segurança contínua, serão as que assumirão a liderança.
Crédito da imagem: mikkolem/depositphotos.com