Responder a esses nove perguntas pode ser um bom começo para avaliar as ferramentas certas que o deixarão relativamente livres de risco

Há muitos fatores a considerar ao fazer uma decisão de compra de segurança de aplicativo, e há mais pressão do que nunca sobre as organizações para melhorar sua preparação de gestão de risco de segurança.

De fato, mais de 80% dos ataques de segurança visam explorar vulnerabilidades em aplicativos. As organizações precisam de um conjunto abrangente de ferramentas de segurança de aplicativos para se manterem seguras ao longo do ciclo de vida do produto e precisam abordar questões-chave que podem ajudá-las a determinar as ferramentas certas para enfrentar os riscos de segurança.

O fornecedor de segurança de código aberto Black Duck Software explica por que fazer essas perguntas-chave pode ajudá-lo a determinar a combinação certa de ferramentas e recursos de aplicativos para suas organizações.

1 – Que tipo de aplicações você desenvolve (por exemplo, web, móvel, IoT, etc.)?
Aplicativos móveis e IoT frequentemente requerem ferramentas especializadas, enquanto as ferramentas padrão de  análise dinâmica (DAST) podem ser usadas para testar a maioria dos aplicativos instalados e baseados na Web.

2 – Com que tipos de redes suas aplicações se conectarão (por exemplo, Internet, LAN, sem fio, etc.)?
As ferramentas de teste de segurança de aplicativos selecionadas devem permitir a emulação dos tipos de ataque que seus aplicativos provavelmente enfrentarão. Por exemplo, os aplicativos sem fio exigem acesso protegido à intranet ou à internet, o que afeta os roteadores, as regras de firewall e as políticas VPN. Se a maioria dos seus aplicativos de negócios é executada exclusivamente em redes sem fio, é aconselhável considerar esses fatores antes de tomar uma decisão de compra.

3 – Você tem acesso a todo o código-fonte em seus aplicativos?
O uso de componentes e códigos de terceiros, vulneráveis, ​​em aplicativos mais recentes tornou-se um grande problema de segurança ao longo dos anos. Se sua organização usa um grande número de componentes de terceiros em seus aplicativos, verifique se suas ferramentas de segurança de aplicativos podem analisar esses componentes de forma eficaz. Ao garantir que todos os códigos de terceiros são controlados e mantidos atualizados, o código será mais confiável e de fácil gerenciamento.

4 – Que linguagens de programação você usa?
Hoje em dia, é quase impossível funcionar bem no mundo do software com apenas uma linguagem de programação. Embora qualquer linguagem de programação possa fazer qualquer trabalho, é importante orientar seu foco nos idiomas certos. Saber quais idiomas são importantes para você ajudará a verificar se as ferramentas de segurança de aplicativos que você está considerando suportam esses idiomas. As ferramentas certas vão permitir que você seja capaz de resolver problemas de forma mais rápida e eficiente.

5 – Quanto de código aberto você usa em suas aplicações?
Se o código aberto incluir uma percentagem significativa do seu código, uma solução de gestão de vulnerabilidades open source é obrigatória. O plano de uma empresa para gerenciar vulnerabilidades de código aberto determina a integridade dos aplicativos que ela produz e a eficiência com que o faz. Ao usar uma solução de gerenciamento de vulnerabilidades de código aberto para automatizar o processo de teste e gerenciamento de vulnerabilidades de segurança de código aberto, você encontrará uma experiência melhor para você e sua equipe, como a identificação rápida de vulnerabilidades na base de código conforme forem divulgadas.
6 – Como você vai monitorar ou testar novas vulnerabilidades após a liberação dos aplicativos para uso?
É importante ter ferramentas para monitorar e gerenciar vulnerabilidades em todas as versões de seus aplicativos, desde que permaneçam em uso. Sem isso, você corre o risco de ter uma estratégia de gerenciamento de código aberto incompleta. A identificação de um conjunto de ferramentas confiáveis de segurança de aplicativos salvaguardará suas informações confidenciais e evitará que as vulnerabilidades sejam expostas.
7 – Qual é o seu modelo de desenvolvimento de aplicativos?
Verifique se as ferramentas de segurança de aplicativos são compatíveis com a metodologia de desenvolvimento e as ferramentas que você usa. As organizações se beneficiam de ferramentas e aplicativos que seguros desde a concepção, mas assegurar que eles são compatíveis com software de desenvolvimento é garantia de segurança adicional no caso de eventos dispendiosos.
8 – Quem usará suas ferramentas de segurança de aplicativos?
As ferramentas que você selecionar devem fornecer o equilíbrio certo de sofisticação e facilidade de uso que sua equipe precisa. Um processo automatizado com o kit de ferramentas certo ajudará as equipes de desenvolvimento a experimentar menos interrupções durante respostas a descobertas tardias, ajudando as empresas a operar com mais eficiência.
9 – Qual é o seu orçamento?
É importante direcionar seu orçamento de segurança de aplicativos onde ele terá o maior impacto. Se o código aberto for uma parte significativa do seu código, e as chances são boas de que ele seja, certifique-se de alocar seus gastos para incluir uma solução de gerenciamento de vulnerabilidades de código aberto.

Fonte: CIO

Texto original:
http://cio.com.br/tecnologia/2017/04/26/como-selecionar-solucoes-de-seguranca-de-aplicativos/