A segurança na internet tem sido muito debatida nos últimos anos. Os usuários passaram a dar mais importância ao tema à medida que começaram a entender mais sobre a importância de seus dados. Além disso, para as empresas também é essencial adotar ferramentas de proteção para evitar os desafios que um vazamento de dados pode gerar – e o quanto as informações são valiosas para os seus negócios. Além disso, é claro, também vivemos um aumento exponencial de ataques cibernéticos.
Dados do último Microsoft Digital Defense Report, publicado em novembro de 2022, mostram que, em 2021, foram registrados cerca de 921 ataques a senhas por segundo, um crescimento de 74% em relação à edição anterior da pesquisa. Os ataques mais comuns são os ransomware (sequestro de dados), que além de duplicarem e bloquearem dados, afetaram diretamente setores como a Indústria (28%), setor da Saúde (20%), Varejo (16%), Educação (8%), Energia (8%), Finanças (8%), Governos (8%) e TI (4%).
E o tema também afeta o trabalho dos desenvolvedores, sendo que a falta de políticas de segurança para quem trabalha com o desenvolvimento de códigos e aplicações também pode ser uma das portas de entrada para ciberataques. Porém, vale ressaltar que atualmente estão disponíveis diversas ferramentas que foram desenvolvidas para ajudar esses profissionais a trabalharem seguindo as melhores práticas em cibersegurança. O Security Development Lifecycle (SDL), que em tradução livre significa ciclo de vida do desenvolvimento com segurança, é um exemplo.
Ela consiste em ter políticas claras que incluem, entre outras coisas, acesso às ferramentas baseadas em Software as a Service (SaaS), repositórios de código (por meio de SSH, HTTPS ou token de acesso pessoal). Para acesso ao ambiente baseado em SaaS é importante dar visibilidade às instruções sobre como os princípios de acesso determinam quem pode baixar (clonar) repositórios de código de sistemas e em quais servidores (local, nuvem e contêiner).
Mas, como sabemos, os desenvolvedores, muitas vezes, trabalham com suas próprias máquinas – o que gera um cuidado ainda maior a fim de proteger esses dispositivos. A situação pode ser mais delicada caso utilizem uma conexão remota, com redes Wi-Fi vulneráveis, em que os riscos de roubo, perda de hardware e de codificações se tornam grandes preocupações. Por isso, também é fundamental o monitoramento e aplicação de segurança nessas redes.
É importante que as equipes de TI possam ter esses controles, uma vez que extensões mal-intencionadas podem colocar em risco as ferramentas de desenvolvedor e causar violações em toda a empresa. Por isso, há ferramentas que podem apoiar os times de tecnologia e os profissionais que trabalham com desenvolvimento, como o GitHub Advanced Security e Defender for DevOps, embarcadas no Microsoft Defender Cloud. Ambas as ferramentas ajudam a reduzir o número e a gravidade das vulnerabilidades, contribuindo para que os profissionais e as empresas possam integrar a segurança em cada etapa do ciclo do desenvolvimento. Do mesmo modo, o Defender for DevOps também traz essa possibilidade e, o melhor, em ambientes multicloud, cada vez mais comuns nas empresas. Também é importante ficar atento ao acesso dos profissionais à rede da empresa. Por exemplo, o OneDrive pode bloquear ou limitar o acesso não gerenciado ao dispositivo. São ferramentas que estão à disposição para facilitar a vida dos programadores e trazer segurança
Já o GitHub também possui algumas ferramentas para mitigar eventuais vulnerabilidades aplicando, automaticamente, controles do ambiente de desenvolvedor na nuvem, além de indicar medidas de confiança zero, como configurações de privilégios mínimos com limites de quem pode alterar e aprovar o código.
Outra vantagem é a possibilidade de uma visibilidade unificada de segurança dos profissionais desenvolvedores, desde a construção do código, passando pela pré-produção da aplicação, incluindo varreduras de vulnerabilidade em códigos abertos ou não, independentemente de onde estas informações estão, e em uma ou mais plataformas de nuvem.
Além de todas as ações preventivas, os treinamentos para capacitar as equipes a gerenciar a segurança, com exemplos práticos de como proteger aplicativos e recursos do código à nuvem, estão disponíveis em plataformas, como o Microsoft Learn, e se fazem necessários. Com o conhecimento da importância da segurança em todo o ciclo de desenvolvimento de códigos e aplicações, certamente vai ficar mais fácil identificar, logo no início, problemas críticos que possam surgir, mitigando possíveis ciberataques.