{"id":72938,"date":"2025-04-24T10:22:53","date_gmt":"2025-04-24T08:22:53","guid":{"rendered":"https:\/\/entelgy.com\/sem-categoria\/rapidez-na-entrega-de-codigo-ou-seguranca-talvez-voce-esteja-fazendo-a-pergunta-errada\/"},"modified":"2025-04-30T07:57:13","modified_gmt":"2025-04-30T05:57:13","slug":"rapidez-na-entrega-de-codigo-ou-seguranca-talvez-voce-esteja-fazendo-a-pergunta-errada","status":"publish","type":"post","link":"https:\/\/entelgy.com\/pt-br\/actualidad-es-pt-br\/rapidez-na-entrega-de-codigo-ou-seguranca-talvez-voce-esteja-fazendo-a-pergunta-errada\/","title":{"rendered":"Rapidez na entrega de c\u00f3digo ou seguran\u00e7a? Talvez voc\u00ea esteja fazendo a pergunta errada"},"content":{"rendered":"\n

Com a acelera\u00e7\u00e3o digital e a press\u00e3o por entregas cada vez mais r\u00e1pidas, muitas empresas vivem um dilema silencioso: como manter a seguran\u00e7a das aplica\u00e7\u00f5es sem desacelerar os times de desenvolvimento? <\/strong> <\/h4>\n\n\n\n

Por Vinicius Caires, Head of Delivery de Entelgy em Brasil<\/em> <\/p>\n\n\n\n

Na corrida por novos produtos e funcionalidades, a superf\u00edcie de ataque tamb\u00e9m cresce e, com ela, o risco de brechas de seguran\u00e7a que podem expor dados sens\u00edveis, danificar a reputa\u00e7\u00e3o da marca e at\u00e9 comprometer a continuidade do neg\u00f3cio. Ainda assim, a grande maioria das equipes de desenvolvimento n\u00e3o adota um processo de desenvolvimento seguro \u2014 e muito menos incorpora essas pr\u00e1ticas em seu S-SDLC (Secure Software Development Lifecycle, ou Ciclo de Vida de Desenvolvimento de Software Seguro… assunto para um pr\u00f3ximo artigo \ud83d\ude04). Isso coloca ainda mais responsabilidade nos ombros das equipes de seguran\u00e7a. <\/p>\n\n\n\n

O contexto da \u201cvelocidade\u201d vai al\u00e9m da codifica\u00e7\u00e3o, alcan\u00e7ando tamb\u00e9m a infraestrutura das aplica\u00e7\u00f5es. Um estudo realizado em novembro de 2023 pela Venafi, chamado \u201cEstado Atual da Seguran\u00e7a em Nuvem\u201d, apontou que um n\u00famero consider\u00e1vel de l\u00edderes de seguran\u00e7a e TI n\u00e3o compreende os riscos envolvidos na migra\u00e7\u00e3o de aplica\u00e7\u00f5es legadas para a nuvem. O uso de modelos de conteineriza\u00e7\u00e3o e microsservi\u00e7os torna as melhorias um verdadeiro feito \u2014 mas, na maioria dos casos, at\u00e9 mesmo as configura\u00e7\u00f5es nativas de seguran\u00e7a em nuvem s\u00e3o negligenciadas. Isso acontece porque n\u00e3o est\u00e1 claro quem, dentro dos times de engenharia, plataforma e desenvolvimento, deve assumir o papel de respons\u00e1vel pela seguran\u00e7a. <\/p>\n\n\n\n

O novo dilema da seguran\u00e7a digital <\/strong> <\/p>\n\n\n\n

H\u00e1 uma maturidade ainda muito baixa nas pr\u00e1ticas de desenvolvimento seguro (o relat\u00f3rio da Synopsys indica que 95% dos softwares avaliados s\u00e3o vulner\u00e1veis). Al\u00e9m disso, a maioria das organiza\u00e7\u00f5es utiliza uma combina\u00e7\u00e3o de c\u00f3digo propriet\u00e1rio, c\u00f3digo comercial pronto e componentes open source para construir suas aplica\u00e7\u00f5es \u2014 o que gera, de forma cont\u00ednua, vulnerabilidades no c\u00f3digo e na infraestrutura. Isso pode comprometer o sistema e permitir que hackers explorem pontos fracos para extrair dados, manipular ou at\u00e9 apagar informa\u00e7\u00f5es. <\/p>\n\n\n\n

Somado a isso, o cen\u00e1rio da \u201ccorrida contra o tempo\u201d imposta pelo neg\u00f3cio leva os times de desenvolvimento \u2014 internos ou terceirizados \u2014 ao limite, atuando sob alta press\u00e3o para sustentar e evoluir aplica\u00e7\u00f5es. Nesse contexto, inserir um processo de seguran\u00e7a da informa\u00e7\u00e3o no fluxo costuma ser visto como gargalo. Solu\u00e7\u00f5es tradicionais de seguran\u00e7a podem n\u00e3o ser eficazes, pois chegam tarde, geram retrabalho ou simplesmente n\u00e3o acompanham o ritmo da empresa. Enquanto isso, as vulnerabilidades continuam ativas e com alto potencial de dano. <\/p>\n\n\n\n

Por que as abordagens antigas n\u00e3o funcionam mais? <\/strong> <\/p>\n\n\n\n

Ferramentas que n\u00e3o se integram ao ciclo de CI\/CD e\/ou a outras solu\u00e7\u00f5es de gest\u00e3o de vulnerabilidades. Falta de clareza sobre a maturidade do ambiente. Prioriza\u00e7\u00e3o baseada apenas na criticidade t\u00e9cnica, sem considerar o impacto no neg\u00f3cio. Falsos positivos que confundem mais do que ajudam. Existem muitas raz\u00f5es pelas quais a gest\u00e3o de vulnerabilidades acaba travada \u2014 ou, pior, negligenciada. <\/p>\n\n\n\n

\u00c9 nesse ponto que surge uma nova forma de enfrentar o problema. <\/p>\n\n\n\n

Uma camada de seguran\u00e7a invis\u00edvel (e poderosa) <\/strong> <\/p>\n\n\n\n

A proposta \u00e9 simples: implementar um processo cont\u00ednuo de Gest\u00e3o e Resolu\u00e7\u00e3o de Vulnerabilidades, modular e que atue como uma camada de seguran\u00e7a ativa junto aos times de desenvolvimento \u2014 sem bloqueios. Utilizando ferramentas SCAN pr\u00f3prias e integradas \u00e0s solu\u00e7\u00f5es dos clientes, com monitoramento especializado e uma abordagem consultiva, apoiada por uma equipe dedicada \u00e0 resolu\u00e7\u00e3o de vulnerabilidades, as \u00e1reas de tecnologia podem manter o foco na entrega com a certeza de que a seguran\u00e7a est\u00e1 sendo tratada de forma estrat\u00e9gica e cont\u00ednua. <\/p>\n\n\n\n

Tudo isso \u00e9 baseado no OWASP Top 10 (que lista as 10 principais preocupa\u00e7\u00f5es de seguran\u00e7a para aplica\u00e7\u00f5es web, atualizado regularmente pelo Open Web Application Security Project). Os entreg\u00e1veis v\u00e3o desde varreduras estruturadas (SAST\/DAST\/SCA\/SBOM), passando por explora\u00e7\u00e3o de vulnerabilidades via intelig\u00eancia artificial e\/ou hacking \u00e9tico, at\u00e9 orienta\u00e7\u00f5es sobre pr\u00e1ticas seguras de desenvolvimento. Al\u00e9m disso, \u00e9 poss\u00edvel incorporar modelos de IA para apoiar a organiza\u00e7\u00e3o e explora\u00e7\u00e3o das vulnerabilidades. <\/p>\n\n\n\n

Seguran\u00e7a que gera valor real para o neg\u00f3cio <\/strong> <\/p>\n\n\n\n

A abordagem modular permite escalar de forma personalizada, de acordo com a maturidade do cliente. E os resultados s\u00e3o concretos: <\/p>\n\n\n\n