Olá! Estamos aqui em mais um curso da trilha de AppSec da Alura, desta vez abordando a gestão de programas de AppSec.
Audiodescrição: Giovana é uma pessoa branca, com cabelos loiro escuro, castanho e claro, presos em um rabo de cavalo. Ela usa óculos com armação preta e está com anéis e uma pulseira na mão. Giovana está gravando do estúdio da Alura.
Nesta primeira aula, intitulada Fundamentos e Objetivos de Programas de AppSec, vamos entender o que é, de fato, um programa de AppSec, o motivo de sua existência e como ele se estrutura. A ideia é começar com uma visão macro e estratégica, mostrando a diferença entre quem apenas executa controles pontuais e quem constrói uma governança sólida de segurança de aplicações. Nesta primeira parte, vamos focar em entender o que é AppSec e o que é a abordagem programática.
Começando com o que é AppSec: trata-se de um conjunto de práticas, processos e ferramentas para garantir que o software seja desenvolvido, implantado e mantido de forma segura. AppSec vai além de testes ou ferramentas; é um programa contínuo integrado ao ciclo de vida de software, ou SDLC. AppSec não se resume a instalar um SAST; é sobre estruturar uma operação contínua de segurança, com papéis claros, métricas, melhoria e alinhamento claro ao negócio.
E o que é a abordagem programática? Quando falamos de um programa de AppSec, precisamos ter uma abordagem programática. Isso significa que a segurança de aplicações não deve depender de pessoas específicas, boas intenções ou ações pontuais. Ela deve ser parte de um sistema contínuo, com processos definidos, responsáveis claros, metas, indicadores e melhoria constante. É transformar AppSec de um projeto em um programa institucionalizado, que se sustenta mesmo quando pessoas saem, ferramentas mudam ou a prioridade de negócio evolui.
Na prática, como isso se aplica? Em uma iniciativa pontual, que chamamos de abordagem Tática, um treinamento dentro de um escopo de AppSec poderia ser, por exemplo, um workshop anual de segurança. Com uma abordagem programática, teríamos um programa contínuo de capacitação, com trilhas bem estruturadas. Quando falamos de análise de código, uma iniciativa pontual seria rodar um SAST em um projeto crítico.
Uma abordagem programática consiste em integrar o SAST, ou a ferramenta de análise estática que utilizaremos, na pipeline CI/CD, de modo que todos os repositórios passem por essa análise, e não apenas um projeto específico. Quando falamos de revisão de vulnerabilidades em uma iniciativa pontual, referimo-nos à correção de problemas assim que eles surgem. Em uma abordagem programática, tratamos de um processo de triagem, SLA de correção e métricas.
Na atividade de Threat Modeling (modelagem de ameaças), uma iniciativa pontual seria realizar um Threat Modeling em um sistema específico. Em uma abordagem programática, incorporamos isso como uma etapa obrigatória na fase de design de produtos ou funcionalidades que serão lançadas. A diferença não está nas atividades em si, pois o SAST, o treinamento e o Threat Modeling são os mesmos. A diferença reside em como essas atividades são planejadas, padronizadas e sustentadas dentro da empresa.
Por que isso é indispensável? Estamos falando de cinco aspectos:
Escalabilidade: Com processos bem definidos, é possível ampliar o alcance da segurança sem depender exclusivamente do time central.
Consistência: Todos os times seguem os mesmos padrões, o que reduz variações de riscos.
Estabilidade e Compliance: Requisitos e controles ficam documentados, auditáveis e versionados.
Cultura e autonomia: As áreas técnicas sabem o que fazer sem esperar instruções a cada novo projeto.
Melhoria contínua: Métricas e revisões periódicas permitem evoluir o programa com base em dados, e não apenas em percepções.
Um programa programático é como uma linha de montagem, garantindo que a segurança não dependa de um herói ou de uma única pessoa, mas de um sistema confiável que produz resultados previsíveis.
Trazendo um exemplo prático: temos uma empresa de e-commerce que realiza apenas testes de segurança anuais. Qual é o problema? As vulnerabilidades se acumulam, e as pessoas desenvolvedoras não sabem priorizar essas correções. Uma ação programática seria criar um processo de triagem e classificação das vulnerabilidades encontradas nos testes anuais. Estabelecer um prazo de correção, como 30 dias para falhas críticas. Automatizar a varredura contínua com integração de scanner na pipeline, utilizando SAST e SCA. Medir a evolução mensal das vulnerabilidades abertas versus fechadas.
Como resultado, a segurança de aplicações (AppSec) deixa de ser um evento isolado e se torna um ciclo constante de melhoria. A abordagem programática transforma a segurança em parte da operação, saindo do modo de apagar incêndios e entrando no modo de sistema. Um programa de AppSec maduro não depende da urgência do dia a dia, mas sim de uma estrutura que garante que a segurança aconteça sempre.
Vamos agora entender quais são os componentes-chave de um programa de AppSec e como eles funcionam. O que é indispensável para o programa de AppSec?
Primeiramente, políticas e padrões, que são diretrizes que definem como e por que devemos proceder. Em seguida, processos, que são fluxos que garantem que as ações sejam repetíveis e rastreáveis.
Além disso, é essencial considerar as pessoas, referindo-se tanto aos profissionais quanto à cultura organizacional. Por fim, as ferramentas são fundamentais, pois oferecem suporte tecnológico, automação e visibilidade.
Na prática, como isso se aplica? Temos pilares, políticas e padrões. Assim, estabelecemos uma política de desenvolvimento seguro, um padrão de codificação seguro e requisitos mínimos para revisão de código.
Nos processos, contamos com um workflow de correção de vulnerabilidades, implantação de SSDLC (Secure Software Development Life Cycle).
Em relação às pessoas, abordamos Security Champions, treinamento e comunicação.
Quanto às ferramentas, utilizamos SAST (Static Application Security Testing), DAST (Dynamic Application Security Testing), Threat Modeling, CI/CD e Gates que implementamos.
Um programa equilibrado precisa desses quatro pilares. Ferramentas são essenciais, mas processos não escalam sozinhos. Políticas sem a participação das pessoas não são aplicadas.
Qual é o papel do gestor do AppSec? Existem diversos perfis de gestão, mas vamos citar os três principais que encontramos no dia a dia.
O primeiro é o perfil autocrático, que é tradicional e baseado em autoridade, gerando controle por meio do medo. Esse perfil é comum em estruturas tradicionais e antigas.
O segundo é o perfil democrático, que promove um ambiente mais participativo, acreditando que todos têm algo a contribuir. No entanto, é necessário cuidado para que essa abordagem não atrase decisões ou processos da empresa.
O terceiro perfil é o paternalista, onde o gestor é visto como uma figura parental pelo time. Embora esse perfil crie um ambiente emocionalmente próximo, é importante que o gestor mantenha o julgamento imparcial e baseado em fatos, além de cobrar resultados da equipe.
É possível usar elementos de diferentes perfis de gestão, adaptando-se ao ambiente e às necessidades do momento. Às vezes, é necessário ajustar o perfil preferido para a realidade do time. Geralmente, o perfil democrático funciona melhor, especialmente para o AppSec e as novas gerações.
O que é esperado de um gestor de AppSec? Assim como a maioria dos gestores, espera-se que ele defina a estratégia e o roadmap do programa de AppSec, integre segurança ao ciclo de desenvolvimento de software, trabalhe com métricas, relatórios e informações para os executivos, e consiga traduzir os riscos técnicos identificados pelo time em riscos de negócio para serem apresentados às áreas.
Quais são as habilidades essenciais para atuar na área de segurança de aplicações (AppSec)? Comunicação e influência são fundamentais. Na área de AppSec, é necessário interagir com diversos times e áreas. Um gestor de AppSec precisa estabelecer acordos e comunicação eficaz com todas as áreas envolvidas para implementar um programa de segurança. É essencial obter o apoio dessas áreas, o que requer habilidades de influência para que os times adotem abordagens de segurança com as quais não estão acostumados.
A capacidade de priorização também é crucial. Como gestor de AppSec, é necessário lidar com múltiplas tarefas simultaneamente, incluindo projetos críticos que precisam ser geridos sem impactar negativamente o cliente. É preciso saber equilibrar ganhos e perdas, fazer concessões e priorizar assuntos.
O entendimento do negócio e habilidades de negociação são igualmente importantes. É necessário compreender o negócio da empresa, pois a segurança deve ser implementada para beneficiar a organização como um todo. A negociação é essencial para gerenciar expectativas e prazos, sendo necessário dialogar com diretores e vice-presidentes para ajustar prioridades e prazos de entrega, fazendo concessões quando necessário.
A liderança técnica é indispensável. Não é possível ser um gestor eficaz, especialmente na área de segurança, sem compreender o que está acontecendo, o que o time faz e se as ações estão alinhadas com os objetivos. O grande desafio do gestor de AppSec é atuar como um tradutor entre o mundo técnico do time e o mundo executivo de negócios, convencendo, medindo e sustentando a segurança como parte do valor do produto.
O curso AppSec: implementando estratégias e cultura de segurança possui 151 minutos de vídeos, em um total de 68 atividades. Gostou? Conheça nossos outros cursos de Segurança em DevOps, ou leia nossos artigos de DevOps.
Matricule-se e comece a estudar com a gente hoje! Conheça outros tópicos abordados durante o curso:
Impulsione a sua carreira com os melhores cursos e faça parte da maior comunidade tech.
2 anos de Alura
Matricule-se no plano PLUS 24 e garanta:
Jornada de estudos progressiva que te guia desde os fundamentos até a atuação prática. Você acompanha sua evolução, entende os próximos passos e se aprofunda nos conteúdos com quem é referência no mercado.
Mobile, Programação, Front-end, DevOps, UX & Design, Marketing Digital, Data Science, Inovação & Gestão, Inteligência Artificial
Formações com mais de 1500 cursos atualizados e novos lançamentos semanais, em Programação, Inteligência Artificial, Front-end, UX & Design, Data Science, Mobile, DevOps e Inovação & Gestão.
A cada curso ou formação concluído, um novo certificado para turbinar seu currículo e LinkedIn.
No Discord, você participa de eventos exclusivos, pode tirar dúvidas em estudos colaborativos e ainda conta com mentorias em grupo com especialistas de diversas áreas.
Faça parte da maior comunidade Dev do país e crie conexões com mais de 120 mil pessoas no Discord.
Acesso ilimitado ao catálogo de Imersões da Alura para praticar conhecimentos em diferentes áreas.
Explore um universo de possibilidades na palma da sua mão. Baixe as aulas para assistir offline, onde e quando quiser.
Acelere o seu aprendizado com a IA da Alura e prepare-se para o mercado internacional.
2 anos de Alura
Todos os benefícios do PLUS 24 e mais vantagens exclusivas:
Luri é nossa inteligência artificial que tira dúvidas, dá exemplos práticos, corrige exercícios e ajuda a mergulhar ainda mais durante as aulas. Você pode conversar com a Luri até 100 mensagens por semana.
Aprenda um novo idioma e expanda seus horizontes profissionais. Cursos de Inglês, Espanhol e Inglês para Devs, 100% focado em tecnologia.
Para estudantes ultra comprometidos atingirem seu objetivo mais rápido.
2 anos de Alura
Todos os benefícios do PRO 24 e mais vantagens exclusivas:
Mensagens ilimitadas para estudar com a Luri, a IA da Alura, disponível 24hs para tirar suas dúvidas, dar exemplos práticos, corrigir exercícios e impulsionar seus estudos.
Envie imagens para a Luri e ela te ajuda a solucionar problemas, identificar erros, esclarecer gráficos, analisar design e muito mais.
Escolha os ebooks da Casa do Código, a editora da Alura, que apoiarão a sua jornada de aprendizado para sempre.
Conecte-se ao mercado com mentoria individual personalizada, vagas exclusivas e networking estratégico que impulsionam sua carreira tech para o próximo nível.
