Em nosso último artigo, falamos sobre o treinamento online e gratuito que a Conviso disponibiliza em seu canal de YouTube, o AppSec Starter. E como desenvolvimento seguro é um tema sobre o qual muitos de vocês têm interesse, hoje reunimos algumas dicas de nossos especialistas em AppSec para quem deseja entender ainda mais sobre a importância do desenvolvimento seguro - e aplicá-lo no dia a dia.
Mas antes, vamos recapitular um pouco sobre o que é Desenvolvimento Seguro em segurança de aplicações: o termo refere-se a implementar as iniciativas de segurança em todos os estágios do desenvolvimento - ou seja, desde o início do processo.
Afinal, em um contexto onde cada vez mais indivíduos mal-intencionados buscam brechas para obter dados por meio de vulnerabilidades nas aplicações, o cuidado com a segurança deve passar por todas as etapas de criação de um software.
Você pode ler mais sobre isso por aqui.
Agora vamos às dicas:
1 - Passe a encarar o desenvolvimento seguro como uma cultura
Desenvolvimento Seguro é uma questão cultural, e exige, portanto, mais do que realizar estudos esporádicos. É necessário “virar a chave” e transformá-lo em um mindset. É uma mudança que envolve 15 práticas, e não apenas os testes, ao contrário do que muitos pensam.
Mas como colocar isso em prática? Uma pessoa profissional de desenvolvimento, por exemplo, deve ir além da linguagem de programação e buscar aprender sobre como desenvolver códigos seguros desde sua concepção.
Mas vai muito além disso: é imprescindível o foco no processo, prática e desenvolvimento pessoal por parte de todos os envolvidos. É um processo de aprendizado contínuo e que exige disciplina - mas com resultados positivos no final do caminho.
Tudo isso faz parte de viver e praticar o desenvolvimento seguro. Leia mais sobre este tema neste artigo.
2 - Familiarize-se com a OWASP
Você já ouviu falar da OWASP? Esta sigla é a abreviação para “Open Web Application Security Project” e refere-se a uma entidade sem fins lucrativos e com reconhecimento internacional, que atua com foco na colaboração para o fortalecimento da segurança de softwares em todo o mundo.
Referência para quem quer estudar mais sobre o segurança de aplicações - ou até mesmo ingressar em uma carreira em na área - a OWASP é recheada de documentações para quem quer se inteirar mais sobre o tema.
Além disso, ela promove eventos - tanto globais quanto regionais. Os regionais ficam a cargo de cada “capítulo” da Organização, que é como são chamadas as divisões locais. Nove dos 270 capítulos da OWASP ficam no Brasil, portanto, procure o mais perto de você. Certamente será uma oportunidade de interagir com outros profissionais, aumentando sua rede de contatos e também a troca de conhecimento.
A OWASP mantém ainda uma lista com as 10 principais categorias de riscos em aplicações Web, juntamente com os métodos mais eficazes para lidar com eles. Aqui você encontra um material sobre a última atualização destes riscos, que aconteceu recentemente, em 2021.
3 - Participe de comunidades online sobre o tema
Busque comunidades online sobre o tema, para estar em contato com quem já vive o Desenvolvimento Seguro no dia a dia. Familiarize-se com as principais referências sobre o tema e siga-os em suas redes sociais, participe dos webinars gratuitos que oferecem.
A Conviso, por exemplo, lança quinzenalmente o Code Challenge em sua conta no Twitter, onde especialistas do time de Pentest as a Service criam desafios para que a comunidade se engaje. Já no Slack, existe também uma comunidade focada em DevSecOps, onde profissionais de todo o mundo têm abertura para conversar sobre o tema.
4 - Entenda que os estudos e treinamentos precisam ser contínuos
Sim, os estudos são essenciais. Afinal, apenas com conhecimento é que a jornada de desenvolvimento seguro ficará com pilares sólidos. Se você já trabalha com desenvolvimento, ou mesmo com gestão nesta área, é essencial entender a importância de promover treinamentos relacionados aos temas de segurança para todo o time envolvido no projeto.
E estes treinamentos não devem ser realizados pontualmente, e sim, constantemente, para acompanhar a evolução do mercado. E neste processo, o papel do Security Champion - já escrevemos sobre este tema por aqui - é essencial.
Inscreva-se na Newsletter da Conviso para receber informações sobre AppSec e Desenvolvimento Seguro.
- 2
Recommended Comments
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.