Imagine o cenário: o time de Application Security tem cinco pessoas para uma operação com centenas ou milhares de desenvolvedores. Desenvolvedores otimizam velocidade, profissionais de segurança priorizam redução de risco. Mas as demandas crescem mais rápido do que a capacidade de as absorver. O scan fica para o final, vira retrabalho, atrasa o release.
Existe, porém, uma solução para romper esse ciclo. Empresas que estão se destacando no mercado estão combinando dois movimentos. O primeiro é o plano de evolução do SDLC baseado em evidência, usando o framework OWASP SAMM. E o segundo é um mecanismo de distribuição de conhecimento dentro dos próprios times de desenvolvimento: o programa Security Champions.
O que é o OWASP SAMM?
É um framework criado pelaOpen Web Application Security Project (a OWASP, uma organização sem fins lucrativos). “SAMM” vem de “Software Assurance Maturity Model”. O OWASP SAMM ajuda empresas a avaliar e evoluir o nível de maturidade das suas práticas de desenvolvimento seguro.
O SAMM funciona como um diagnóstico estruturado. Por meio de perguntas organizadas em diferentes pilares, como governança, design, implementação, verificação e operações, ele mapeia onde a empresa está hoje e onde precisa chegar em termos de maturidade de segurança.E o que é o programa Security Champions?
É uma iniciativa fomentada pela OWASP com o objetivo de distribuir cultura e conhecimento de segurança para dentro das próprias squads de desenvolvimento de softwares.
A principal vantagem do programa é levar pessoas de dentro dos times de desenvolvimento para atuarem como referência em segurança no dia a dia, em vez de, por exemplo, concentrar a responsabilidade pela segurança das aplicações em um time pequeno e sobrecarregado de demandas.
No OWASP SAMM, o programa Security Champions se encaixa diretamente no pilar de Governança. Mais especificamente na função de Education & Guidance (Educação e Orientação).
O que faz (e o que não faz) um Champion
O papel do Security Champion é voluntário e funciona como uma ponte entre o time de cibersegurança e os times de desenvolvimento. Mas se engana quem acha que um Champion precisa ser desenvolvedor ou analista de segurança. O essencial é que seja um profissional envolvido com o time de devs e que se importa com a segurança do projeto.
O Security Champion age, por exemplo, interpretando vulnerabilidades encontradas nas pipelines, participando da modelagem de ameaças desde o início do desenvolvimento e conduzindo revisões de código com um olhar de segurança.
O Security Champions não substitui a necessidade de um time de cibersegurança atuante na empresa. Pelo contrário: ele depende desse time para funcionar.Isto porque são os profissionais de segurança que definem as diretrizes, conduzem os treinamentos, apoiam os Champions nas dúvidas mais complexas e garantem que o programa tenha consistência ao longo do tempo.
No RedTalks “Security Champions: como escalar segurança através dos desenvolvedores”, abordamos em detalhes o que é o framework OWASP SAMM, como ele se relaciona com o programa Security Champions e o que a implementação desse programa traz de benefícios, tanto para as empresas quanto para os profissionais que atuam como Champions.
Conte com a Redbelt Security para incorporar segurança ao desenvolvimento das aplicações da sua empresa.
Nossa frente de DevSecOps ajuda a sua empresa a encontrar, priorizar e corrigir vulnerabilidades durante o desenvolvimento dos softwares sem atrasar as entregas. Clique para entrar em contato com nossos especialistas.
