Segurança da Informação

Segurança Contínua no Desenvolvimento Ágil

Sobre o autor: Guilherme Teles é um cara qualquer que não dorme direito e acaba escrevendo. Sou Certificado CISSP, CHFI, CEH, LPIC-3, AWS CDA, AWS SAA, AWS SOAQuer assinar a newsletter do site e receber esse e outros artigos? Clique aqui! Aproveite e navegue pelo smeu blog. Quem sabe você não está exatamente precisando de uma ajuda ? 

Uma área que não recebe atenção suficiente é como criar, testar e fornecer aplicativos seguros continuamente.

A palavra contínua é muito usada quando se fala de Agile e DevOps. Uma área que muitas vezes não recebe atenção suficiente é como criar, testar e fornecer aplicativos seguros continuamente.

Assim como a qualidade, você não pode testar a segurança, então você precisa ter um plano de como criá-la a partir do zero. Aqui estão algumas dicas sobre como fazer isso.

Crie sua arquitetura de segurança na frente

Embora em agilidade não façamos muito planejamento e design antecipados, é necessário ter alguma reflexão sobre a arquitetura geral. Como parte desse trabalho arquitetônico, você deve pensar em como tornar sua arquitetura segura e quais tipos de controles de segurança serão usados ​​para impedir ataques.

Esse tipo de análise de segurança geralmente é feito por um arquiteto de sistemas com experiência em segurança ou uma pessoa sênior de sua equipe de segurança corporativa. Também é preciso ter cuidado para garantir que a arquitetura planejada esteja em conformidade com quaisquer padrões de segurança corporativos ou do setor para proteger dados e outros ativos críticos.

Projetar Defensivamente Cada Sprint

Parte de cada sprint inclui design baseado em equipe, onde novos recursos são integrados ao design de software existente. Esse trabalho de design também precisa se concentrar em fornecer defesa em profundidade a partir de uma perspectiva de segurança. Entender quais ativos críticos devem ser protegidos dentro do aplicativo e os controles de segurança necessários para protegê-los devem ser discutidos a cada sprint.

Como parte das atividades de preparação do backlog, certifique-se de que os requisitos de segurança estejam presentes e façam parte do processo de prioridade. Se você não priorizar a implementação dos controles de segurança apropriados, chegará ao fim de um ciclo de lançamento e não terá projetado seu aplicativo para se proteger.

Implementar código seguro à medida que você for

Alguns problemas de segurança são falhas de design. Outros são erros de implementação no seu código. Como os desenvolvedores de software criam novos recursos, deve-se tomar cuidado para não apresentar vulnerabilidades.

Felizmente, agora há muitos plug-ins IDE interativos que irão “verificar gramaticalmente” seu código para segurança, à medida que seus desenvolvedores digitam novas funcionalidades. Esse recurso não apenas destaca os problemas de segurança à medida que são apresentados, mas também instrui os desenvolvedores sobre eles para que eles criem um código melhor no futuro.

Além disso, certifique-se de que qualquer processo de revisão de código feito como parte de seu desenvolvimento ágil do dia-a-dia inclua uma verificação da segurança do código produzido. Há ferramentas de verificação de segurança disponíveis que complementarão os recursos interativos descritos acima para fazer uma análise de código mais detalhada periodicamente.

Realize testes de segurança em todos os níveis

Segurança contínua implica identificar vulnerabilidades o mais próximo possível de onde elas são introduzidas. Um componente importante dessa abordagem é analisar a segurança de suas unidades, componentes, recursos, casos de uso e fluxos de trabalho de ponta a ponta no início do processo de teste.

Testes de segurança devem ser incorporados em cada atividade de teste realizada, não deixados para o final do processo. Incorpore critérios de aceitação de segurança nos portais de qualidade que você usa para determinar se o código está pronto para avançar para a produção.

Sobre o autor: Guilherme Teles é um cara qualquer que não dorme direito e acaba escrevendo. Sou Certificado CISSP, CHFI, CEH, LPIC-3, AWS CDA, AWS SAA, AWS SOAQuer assinar a newsletter do site e receber esse e outros artigos? Clique aqui! Aproveite e navegue pelo smeu blog. Quem sabe você não está exatamente precisando de uma ajuda ?