De acordo com o relatório, segue sendo desafiador alinhar-se ao conceito de Secure Software Development Lifecycle (SDLC), em que o processo de desenvolvimento é baseado nas melhores práticas de segurança. Por isso, Líderes adotam várias estratégias para atingir essa meta: 38% treinam seus desenvolvedores em cyber security, enquanto outros 36% criam práticas DevSecOps.
A F5 anunciou os resultados do novo relatório State of Application Strategy. Levantamento realizado no segundo semestre de 2022, o estudo SOAS 2023 investiga os desafios de se proteger e aumentar o desempenho das aplicações e APIs (Application Programming Interfaces) que movem a economia digital do Brasil e do mundo. O relatório foi baseado em entrevistas com 1000 profissionais, de CEOs e CISOs a líderes de negócios que compreendem o papel crítico das aplicações em seus processos. 92 profissionais do Brasil e da América Latina contribuíram com suas visões para este estudo.
“O estudo SOAS 2023 mapeia os dilemas enfrentados, por exemplo, por portais B2C e B2B que processam milhões de transações por segundo. Essas e outras aplicações são alvo de incessantes ataques. As organizações lutam para proteger as aplicações e as APIs sem aumentar a fricção, de modo a não frustrar o usuário/consumidor e levar à perda de negócios”, analisa Beethovem Dias, Senior Solutions Engineer da F5 Brasil. “No nosso país, o quadro é ainda mais complexo. Contamos com organizações que convivem internamente com duas ou três gerações diferentes de tecnologias”.
Uma das descobertas mais impactantes do estudo SOAS 2023 diz respeito à vulnerabilidade do modelo de Software Supply Chain (Cadeia de fornecimento de software). “Mais do que se proteger a aplicação que já foi implementada, é fundamental adicionar segurança a todo o ciclo de vida da aplicação, desde a fase do desenvolvimento de código”, ensina Dias. Numa resposta de múltipla escolha, revela-se que 82% dos entrevistados ou já estão adotando ou preparam-se para adotar práticas que promovam o conceito de Secure Software Development Lifecycle (SDLC – Ciclo de vida de desenvolvimento de software seguro).
Para atingir estas metas, 45% implementaram o ciclo contínuo de auditoria. Além disso, 36% estão construindo uma prática DevSecOps, enquanto outros 38% estão treinando seus desenvolvedores nas melhores práticas de desenvolvimento de código seguro. O estudo revela, ainda, que as verticais de finanças e de saúde estão à frente nesta evolução.
Para Dias, chama a atenção o fato de que 18% dos entrevistados disseram não lidarem com os riscos de um ciclo de desenvolvimento de software não alinhado às melhores práticas de segurança. “São organizações que ainda seguem o modelo de que o ciclo de desenvolvimento é ‘para ontem’”, descreve. “A velocidade dos negócios digitais exige ciclos contínuos de desenvolvimento que podem não ser executados de forma segura. Há casos em que isso acontece também no Brasil – primeiro se coloca a aplicação no ar e depois se vê o quanto ela é segura”.
Essa realidade, no entanto, está mudando. “Vejo a tendência de os times de desenvolvimento e de cyber security trabalharem juntos em prol do desenvolvimento de uma aplicação que seja segura desde o código. Isso é crítico para se proteger os processos de negócios”.
O estudo deixa claro que, na economia digital, o avanço em direção à nuvem é um caminho sem volta. 85% dos entrevistados têm a missão de gerenciar e proteger aplicações modernas e tradicionais rodando em ambientes variados, incluindo implementações on-premises, no Edge Computing e em nuvens públicas como Microsoft Azure, Google, AWS.
Mais de 20% dos entrevistados rodam aplicações e APIs em seis ambientes diferentes. Essa tendência explica que o uso de APIs Gateways – soluções que fazem a gestão do acesso do desenvolvedor à APIs em ambiente multi-cloud – tenha passado de 35% para 78%. Um salto semelhante foi observado no uso de WAFs (Web Application Firewalls): entre 2021 e 2022, o uso desta tecnologia avançou de 66% para 82%.
Para Dias, a crescente adoção dessas tecnologias tem a ver com a complexidade do ambiente de nuvem. “Quer a organização tenha centenas de aplicações na nuvem pública, quer tenha apenas um sistema neste ambiente, torna-se necessário utilizar soluções de segurança nativas para a nuvem”.