No passado 5 de Maio tivemos uma mesa redonda com a Sonatype, onde participaram membros das áreas de segurança, desenvolvimento e DevOps de algumas empresas importantes em Espanha.

Falámos das tendências no DevSecOps, da relação entre as áreas de desenvolvimento e segurança e das ferramentas actuais de apoio à gestão.

Abaixo, gostaríamos de partilhar algumas conclusões:

Sobre as tendências no DevSecOps:

• O desenvolvimento rápido é necessário devido às exigências do mercado.
• Estão a ser feitos ataques à cadeia de abastecimento, comprometendo projectos gerados por dependências de terceiros.
• A utilização de contentores e aprovisionamento
• A utilização de infra-estruturas como código

Sobre a relação entre as áreas de desenvolvimento e segurança:

• Os programadores devem poder ser incluídos a nível de função e avaliar a segurança quando se encontram no processo de desenvolvimento.
• A verificação da vulnerabilidade da aplicação é feita quando esta é terminada, se for encontrada alguma, esta tem de ser refeita causando retrabalho.
• É importante ter uma cultura de colaboração e trabalho de equipa entre as duas áreas, que as áreas de segurança estejam cada vez mais conscientes de como as aplicações são desenvolvidas e os seus pontos de controlo.

Relativamente às ferramentas actuais para ajudar na gestão:

• Por vezes são impostas ferramentas que os criadores estão relutantes em utilizar.
• Existem ferramentas que geram demasiado ruído e algumas optam por ignorá-las.
• Não utilizam uma ferramenta que integre a fase de segurança ao longo de todo o seu ciclo de desenvolvimento.

A Sonatype foi criada para ajudar a mitigar os riscos de segurança numa fase inicial, assegurando toda a cadeia de abastecimento. Assim como para apoiar os criadores e as áreas de segurança a trabalharem muito bem em conjunto.

Como parceiro, a Panorama Technologies pode ajudá-lo a encontrar a solução para poupar tempo e dinheiro em retrabalho, cumprir as políticas de segurança sem afectar a agilidade no desenvolvimento de aplicações e ajudar a forjar uma relação harmoniosa entre as equipas de segurança e desenvolvimento.