Este é um assunto que tem muito pano para manga. Alguns defendem outros já dizem que este processo é desnecessário, pois a consciência e a maturidade do desenvolvedor no ciclo de desenvolvimento de um software aliado ao framework já bastam para mitigar uma vasta lista de vulnerabilidades. Mas neste caso eu pergunto. E a falha humana? Sabemos que no processo de desenvolvimento de um software existe um elo frágil que leva ao erro e possíveis vulnerabilidades que levam a por exemplo:
- Ataques de SQLInjection;
- Vazamento de informações;
- BOF;
dentre outros inúmeros ataques, que somente são possíveis devido a elo mais frágil que é o “humano”. Que por ter aprendido a codificar em uma época que a cultura de cyber segurança, não era tão viva, simplesmente não se adaptou as novas regras de desenvolvimento seguro, onde ainda utiliza frameworks ultrapassados e conhecimento não atualizados a nova cultura de desenvolvimento.
Penso logo que uma avaliação profissional, falando da realização de um Pentest é algo extremamente necessário neste ciclo de desenvolvimento. Para validar se a aplicação Web/Mobile ou até mesmo Desktop estão indo para mercado/consumidor final sem vulnerabilidades ou pelo menos mais seguros do que se não tivessem passado por este processo, ingressando assim na cultura do DevSecOps.
O primeiro passo para desenvolver essa cultura é justamente o fator humano. Os colaboradores devem entender os benefícios dessa mentalidade na construção de um software seguro. Neste processo análises SAST (Static Application Security Tests) e DAST (Dynamic Application Security Tests) ocorrem em etapas distintas. Enquanto o SAST é realizado para garantir a segurança do código, sendo feito diretamente no repositório, os testes DAST são realizados em uma fase mais avançada, onde a aplicação é colocada em operação para ser testada.
Esta cultura precisa ser implantada para termos softwares mais seguros e ai o que você acha? De sua opinião sobre este assunto.
Fique com DEUS e até a próxima !
