{"id":101520,"date":"2019-08-25T23:08:42","date_gmt":"2019-08-26T06:08:42","guid":{"rendered":"https:\/\/www.paloaltonetworks.com\/blog\/?p=101520"},"modified":"2022-04-06T23:13:47","modified_gmt":"2022-04-07T06:13:47","slug":"4-practical-steps-shift-left-security","status":"publish","type":"post","link":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/2019\/08\/4-practical-steps-shift-left-security\/?lang=pt-br","title":{"rendered":"4 Etapas pr\u00e1ticas para seguran\u00e7a \"Shift Left\""},"content":{"rendered":"

Desde o come\u00e7o da computa\u00e7\u00e3o moderna, a seguran\u00e7a se separou muito do desenvolvimento de software. Pesquisas recentes sobre vulnerabilidade<\/a> confirmam essa teoria. Consideremos que nos \u00faltimos cinco anos, de todas as vulnerabilidades publicadas, 76% vieram de aplicativos. Dada essa mudan\u00e7a radical no foco dos invasores, este \u00e9 o momento para integrar a seguran\u00e7a e o desenvolvimento. A melhor forma de fazer isso \u00e9 implementando uma estrat\u00e9gia de seguran\u00e7a \"shift-left\".<\/p>\n

Como definir a seguran\u00e7a \"shift-left\"<\/strong><\/p>\n

Em termos gerais, seguran\u00e7a \u201cshift left\u201d \u00e9 colocar a seguran\u00e7a no ponto mais inicial poss\u00edvel do processo de desenvolvimento. Os CI\/CD<\/a> modernos geralmente envolvem um processo de oito etapas, conforme mostrado na Figura 1 a seguir. Pense que a seguran\u00e7a \"shift-left\" \u00e9 boa para reduzir os riscos cibern\u00e9ticos e os custos tamb\u00e9m. O System Sciences Institute da IBM<\/a> observou que resolver problemas de seguran\u00e7a durante o desenvolvimento \u00e9 seis vezes mais barato do que durante a implementa\u00e7\u00e3o. O mesmo estudo tamb\u00e9m observou que resolver problemas de seguran\u00e7a durante os testes pode ser 15 vezes mais oneroso.<\/p>\n

Intencionalmente incorporar a seguran\u00e7a em cada uma dessas etapas come\u00e7a com estrat\u00e9gias claramente definidas.<\/p>\n

\"\"<\/span><\/div><\/p>\n

Figura 1: IC\/DC<\/p>\n

 <\/p>\n

Etapa 1: defina sua estrat\u00e9gia de seguran\u00e7a \"shift-left\"<\/strong><\/p>\n

O primeiro passo de toda jornada \u00e9 definir onde se pretende chegar. Se trata de passar a ideia mais realista poss\u00edvel para sua equipe, para que ela saiba como \u00e9 o sucesso. Os principais itens a serem inclu\u00eddos nesse documento s\u00e3o a vis\u00e3o, propriedade\/responsabilidade, eventos importantes e m\u00e9tricas. Espere que o documento de estrat\u00e9gias amadure\u00e7a com o tempo e n\u00e3o gaste muito tempo tentando aperfei\u00e7o\u00e1-lo. A itera\u00e7\u00e3o com o tempo \u00e9 essencial.<\/p>\n

Etapa 2: compreenda onde e como o software \u00e9 criado na sua organiza\u00e7\u00e3o<\/strong><\/p>\n

Talvez um dos aspectos mais desafiadores da seguran\u00e7a \"shift-left\" \u00e9 conhecer como e onde o software \u00e9 criado na sua organiza\u00e7\u00e3o. Dependendo do tamanho da sua empresa, isso pode variar entre simples a extremamente desafiador.<\/p>\n

O objetivo dessa etapa \u00e9 olhar primeiro para a organiza\u00e7\u00e3o como um todo e documentar o fluxo completo do software na sua empresa. Empresas de m\u00e9dio a grande porte querem come\u00e7ar na escala macro e ent\u00e3o levar para unidades de neg\u00f3cios individuais. \u00c9 muito prov\u00e1vel que cada unidade de neg\u00f3cios tenha seu pr\u00f3prio processo e suas pr\u00f3prias ferramentas de desenvolvimento de software. Os principais itens para identificar essa fase incluem quem est\u00e1 desenvolvendo o c\u00f3digo (pessoas), como eles circulam pelos laptops de desenvolvimento para a produ\u00e7\u00e3o (processo) e quais sistemas eles est\u00e3o usando para possibilitar o processo (tecnologia). Isso tamb\u00e9m pode ser visto como a cadeia de ferramentas CI\/CD. Sem d\u00favida, grande parte do desenvolvimento do seu software est\u00e1 sendo feito na nuvem p\u00fablica.<\/p>\n

Etapa 3: como identificar e implementar protetores de qualidade da seguran\u00e7a<\/strong><\/p>\n

Garantia de qualidade sempre fez parte do ciclo de vida do desenvolvimento de software. Contudo, historicamente, a qualidade do software n\u00e3o inclu\u00eda seguran\u00e7a. Isso tem que mudar, e o trabalho feito nas etapas anteriores v\u00e3o lhe preparar para isso. Cada etapa do processo de desenvolvimento de software \u00e9 uma oportunidade de dar feedback e procurar os problemas de seguran\u00e7a. As equipes de seguran\u00e7a mais eficientes come\u00e7am pequenas. Elas d\u00e3o \u00e0s equipes de desenvolvimento ferramentas simples e eficazes que se tornam parte da rotina di\u00e1ria de desenvolvimento. Uma dessas ferramentas<\/a> foi recentemente disponibilizada de forma aberta pela Palo Alto Networks, o que significa que ela pode ser usada gratuitamente.<\/p>\n

Etapa 4: avaliar e treinar continuamente equipes de desenvolvimento na codifica\u00e7\u00e3o da seguran\u00e7a<\/strong><\/p>\n

Parte da sua jornada rumo \u00e0 seguran\u00e7a \"shift-left\" \u00e9 garantir que, antes de mais nada, as pessoas que fazem a grande parte da codifica\u00e7\u00e3o criem c\u00f3digos de seguran\u00e7a. Isso \u00e9 dif\u00edcil se voc\u00ea n\u00e3o tiver uma m\u00e9trica objetiva de como est\u00e1 a qualifica\u00e7\u00e3o deles hoje e um plano para a melhorar continuamente com o passar do tempo. Uma pesquisa considerou esses dados e concluiu que 19% dos desenvolvedores disseram que n\u00e3o est\u00e3o familiarizados com o OWASP Top 10<\/a> e disseram que essa \u00e9 uma \u00e1rea que n\u00e3o deveria ser negligenciada. Para ressaltar esse ponto, uma pesquisa publicada recentemente pelo provedor de servi\u00e7os de DevOps GitLab<\/a> estimou que 70% dos programadores escrevem c\u00f3digos de seguran\u00e7a, mas apenas 25% deles acham que as pr\u00e1ticas de seguran\u00e7a da empresa em que trabalham s\u00e3o \"boas\".<\/p>\n

Como \u00e9 a seguran\u00e7a \"shift-left\"<\/strong><\/p>\n

Vamos analisar dois cen\u00e1rios em que simplificamos o desenvolvimento nas etapas de constru\u00e7\u00e3o, implementa\u00e7\u00e3o e execu\u00e7\u00e3o. No primeiro cen\u00e1rio, o desenvolvimento come\u00e7a sem seguran\u00e7a. A qualidade do software s\u00f3 \u00e9 verificada na hora da execu\u00e7\u00e3o. Isso geralmente resulta em conversas dif\u00edceis entre a seguran\u00e7a e o desenvolvimento quando vulnerabilidades s\u00e3o encontradas.<\/p>\n

\"\"<\/span><\/div><\/p>\n

Entretanto, no segundo cen\u00e1rio, as equipes de seguran\u00e7a investiram tempo para compreender o processo de desenvolvimento na sua organiza\u00e7\u00e3o. Elas tamb\u00e9m consideraram o tempo para incorporar os processos de seguran\u00e7a e as ferramentas no pipeline de CI\/CD, o que resultou em protetores automatizados para qualidade da seguran\u00e7a.<\/p>\n

\"\"<\/span><\/div><\/p>\n

Conclus\u00e3o<\/strong><\/p>\n

Usar as quatro etapas acima colocar\u00e3o sua organiza\u00e7\u00e3o em um caminho certeiro rumo n\u00e3o apenas \u00e0 seguran\u00e7a \"shift left\", mas tamb\u00e9m para tornar a seguran\u00e7a um sin\u00f4nimo de desenvolvimento. Na medida que sua organiza\u00e7\u00e3o caminha rumo ao \"shift-left\" como parte de sua jornada para a nuvem, \u00e9 importante que os controles de seguran\u00e7a sejam automatizados e executados por APIs. O Prisma<\/a> da Palo Alto Networks permite que as equipes de seguran\u00e7a fa\u00e7am exatamente isso ao proteger as DevOps e o seu pipeline CI\/CD.<\/p>\n","protected":false},"excerpt":{"rendered":"

Desde o come\u00e7o da computa\u00e7\u00e3o moderna, a seguran\u00e7a se separou muito do desenvolvimento de software. Pesquisas recentes sobre vulnerabilidade confirmam essa teoria. Consideremos que nos \u00faltimos cinco anos, de todas as vulnerabilidades …<\/p>\n","protected":false},"author":623,"featured_media":100168,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[3558],"tags":[],"coauthors":[6679],"class_list":["post-101520","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-nao-categorizado"],"jetpack_featured_media_url":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-content\/uploads\/2019\/07\/Shift-Left.png","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts\/101520","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/users\/623"}],"replies":[{"embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/comments?post=101520"}],"version-history":[{"count":1,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts\/101520\/revisions"}],"predecessor-version":[{"id":101521,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts\/101520\/revisions\/101521"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/media\/100168"}],"wp:attachment":[{"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/media?parent=101520"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/categories?post=101520"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/tags?post=101520"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/coauthors?post=101520"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}