O que é segurança com foco no desenvolvedor?

Uma pesquisa recente da Forrester Research, "Breaches By The Numbers: Adapting To Regional Challenges Is Imperative", de 12 de abril de 2022, descobriu que 63% das empresas foram violadas no ano passado, 4% a mais do que no ano anterior. É importante perceber que o código agora é o principal alvo, em vez da infraestrutura. Para complicar ainda mais a situação, algumas estimativas sugerem que cerca de 60% das aplicações são de código aberto, outras estimam que essa porcentagem seja 80% ou 90%. O código-fonte aberto é inerentemente mais propenso a conter vulnerabilidades e códigos mal-intencionados do que códigos gerados do zero, mas é uma escolha compreensível para desenvolvedores ocupados que precisam entregar código de qualidade em prazos cada vez mais apertados.

Durante anos, a segurança fez parte de uma organização separada que entrava em ação depois do commit do código para encontrar problemas de segurança e exigir mudanças dos desenvolvedores, que ficavam relutantes (o que não é surpresa), pois já haviam passado para o próximo projeto. A segurança não era apenas considerada por último, era uma experiência hierárquica entregue por pessoas que não tinham nenhum contato com os desafios do desenvolvimento. Não é difícil entender por que essa abordagem foi uma grande fonte de frustração para todas as partes envolvidas.

O objetivo do DevSecOps era expandir a quebra de silos que aconteceu quando o DevOps foi implementado: agora, desenvolvimento, operações e segurança trabalham juntos. Ainda é cedo, mas nossa Pesquisa Global de DevSecOps de 2022 mostrou sinais promissores: quase 29% dos profissionais de segurança disseram que agora fazem parte de uma equipe de segurança multifuncional, e 57% dos membros de equipes de segurança disseram que suas organizações mudaram a segurança para a esquerda ou planejam fazer isso este ano.

Ainda há atrito entre desenvolvedores e segurança, mas há sinais de que as relações estão melhorando. Em 2022, menos profissionais de segurança reclamaram da identificação de vulnerabilidades no final do ciclo de vida do desenvolvimento de software ou da dificuldade em fazer com que os desenvolvedores abordassem os riscos de segurança.

Do lado do desenvolvedor, mais da metade deles disseram que são "totalmente responsáveis" pela segurança em suas organizações, enquanto outros 39% disseram que se sentem responsáveis pela segurança como parte de uma equipe maior.

Para quebrar o que parece ser um ciclo muito vicioso, os especialistas dizem que é hora de começar a pensar em segurança de forma contextual ou com foco no desenvolvedor. Resumindo, a segurança com foco no desenvolvedor oferece ao programador uma ferramenta de segurança acessível para o desenvolvedor, que reside no IDE e permite que os desenvolvedores encontrem e corrijam problemas de segurança de maneira simples. Idealmente, esses controles de segurança são automatizados, assim desenvolvedores ocupados não precisam pensar em requisitos de segurança para criar um código seguro: isso acontece de forma natural como parte do processo de programação.

A chave para o sucesso da segurança com foco no desenvolvedor é, antes de mais nada, uma mudança de perspectiva de ambos os lados. Os profissionais de segurança precisam lembrar que os desenvolvedores são responsáveis por muitas tarefas (programação, testes, segurança e até mesmo algumas funções de operações). Diante disso, é vital que os profissionais de segurança dediquem tempo para entender o que os desenvolvedores precisam fazer (e talvez aprender a programar) para fornecer o treinamento, o incentivo e a empatia necessários. Ao mesmo tempo, os desenvolvedores precisam estar abertos a uma mudança de processo e animados com a oportunidade de contribuir com a segurança do código de maneira significativa.

Mover a segurança para a equipe de desenvolvimento, garantindo que as equipes tenham a combinação certa de habilidades, e criar um ambiente compartilhado contribuirá muito para uma iniciativa de segurança com foco no desenvolvedor bem-sucedida.