AppSec
PUBLICADO EM:
10 de Março de 2022
CATEGORIA:
Desenvolvimento
Cliente:
(N.D.A.)
Problema
Diversos desafios relacionados à segurança de aplicações e desenvolvimento seguro, tais como:
- Contrato atual não comporta execuções de serviços SAST que o cliente necessitava;
- Execução de code review no processo de desenvolvimento;
- Não execução de análises DAST;
- Times utilizam diferentes ferramentas de mercado, de forma free, e identificam problemas de interação na esteira;
- Esteira atual não segue OWASP SAMM ou qualquer outro modelo de maturidade;
- Deficiência na integração entre repositórios;
- Estabelecer processos e desenvolvimento da cultura de Security By Design;
- Obter visibilidade das vulnerabilidades e ameaças que impactam o negócio.
Solução
Para o desenvolvimento do programa de segurança em produção interna do cliente foram realizadas as seguintes atividades, distribuídas em 1.300 horas de serviços.
- Diagnóstico de maturidade do programa de AppSec (SAMM);
- Integração da tecnologia Veracode com esteiras de desenvolvimento;
- Suporte a execução de análises estáticas – SAST;
- Suporte a execução de análises dinâmicas – DAST;
- Suporte a análise de código de terceiros – SCA;
- Secure Code Review – análise manual;
- Passagem de conhecimento para equipes;
- Workshops de conscientização em desenvolvimento seguro.
Resultado
- Integração do SAST Veracode em 75% das squads de desenvolvimento de aplicação dos times: PME; Digital; cliente + idP;
- Média de 1.000 scans de análises de vulnerabilidades por mês;
- Identificação de até 3.000 vulnerabilidades em um mês;
- Correção de 1.033 vulnerabilidades em 30 dias;
- Redução do tempo médio de correção de vulnerabilidades para 30 dias;
- Aumento nítido da maturidade de segurança das aplicações desenvolvidas no período com base na quantidade de vulnerabilidades encontradas.