Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo ajuda as equipas de segurança e tecnologia a estabelecer e modernizar uma disciplina de Segurança do Desenvolvimento. Esta disciplina ajuda as equipas de segurança, engenharia e tecnologia a garantir que o software é concebido, construído, integrado e implementado de forma segura — sem atrasar a inovação.
As disciplinas de segurança são agrupamentos de trabalhos relacionados com a segurança que ajudam as organizações a garantir consistentemente resultados de segurança em todo o património tecnológico. No âmbito do modelo de adoção de segurança, as disciplinas ajudam a criar uma ponte entre cenários de negócio e implementação técnica, garantindo que os investimentos em segurança se traduzam em resultados reais e mensuráveis como parte do modelo de adoção de segurança.
Porquê esta disciplina?
O software está profundamente interligado com identidades, dados, infraestruturas e processos empresariais. Quando a segurança do desenvolvimento é fraca ou inconsistente, cada lançamento de software pode introduzir novas vulnerabilidades que os atacantes exploram para aceder a ativos organizacionais mais amplos.
Sem uma disciplina eficaz de Segurança do Desenvolvimento, as organizações frequentemente experienciam:
- Risco aumentado devido a vulnerabilidades de software introduzidas durante o desenvolvimento.
- Comprometimento de aplicações que permite o movimento lateral entre identidades e dados.
- Interrupção das operações e receitas do negócio.
- Exposição ou abuso de dados de clientes e de dados sujeitos a regulamentação.
- Acumulação de dívida técnica que aumenta o risco a longo prazo e o custo de remediação.
Uma forte disciplina de segurança no desenvolvimento assegura que cada lançamento reduz o risco, em vez de o agravar.
Missão e resultados
A disciplina de Segurança do Desenvolvimento reduz o risco organizacional ao garantir que todo o software, seja desenvolvido internamente ou por parceiros, é concebido, construído, integrado e implementado em alinhamento com os padrões de segurança, sem atrasar a entrega ou inovação.
As organizações que amadurecem esta disciplina alcançam:
- A segurança é incorporada nos processos de desenvolvimento, em vez de ser adicionada demasiado tarde.
- Identificação e remediação precoces de falhas de design e implementação.
- Ciclos de lançamento mais previsíveis e seguros.
- Redução de retrabalho, correções de emergência e perturbações operacionais.
- Menor acumulação de dívida técnica e de garantia ao longo do tempo.
A Segurança de Desenvolvimento assegura que a postura de segurança melhora continuamente a cada lançamento, em vez de ser periodicamente reiniciada.
Mudanças no trabalho de equipa
É importante que uma disciplina de Segurança do Desenvolvimento encontre os programadores e equipas de produto onde estão, focando-se na integração da segurança nos fluxos de trabalho de desenvolvimento existentes, em vez de introduzir controlos em fases avançadas, processos de revisão com muitos atritos ou até saltar a segurança nos processos de desenvolvimento.
Esta abordagem é frequentemente descrita como uma deslocação para a esquerda, introduzindo o pensamento de segurança mais cedo na ideação, design e implementação, quando os problemas são mais fáceis e menos dispendiosos de resolver. Mudar para a esquerda não significa dizer não mais cedo no processo. Em vez disso, introduz cedo a discussão informada sobre segurança para melhorar as decisões de produto e garantir que as soluções cumprem os requisitos de segurança e de negócio.
Os princípios fundamentais incluem:
- Integração inicial: Considere a segurança durante a ideação e o design, não apenas nos testes
- Alinhamento de programadores: Encontre equipas de desenvolvimento e produto onde já trabalham
- Mudança pequena e incremental: Prefira automação e melhorias de baixo atrito
- Melhoria contínua: Trate a segurança como uma disciplina contínua, não como um marco
Com o tempo, a integração consistente reduz os simulacros de incêndio e acelera a entrega em vez de a atrasar.
Como aplicar esta disciplina
Para aplicar eficazmente a disciplina de Segurança do Desenvolvimento, concentre-se em estabelecer uma abordagem consistente para construir e manter aplicações e serviços seguros em toda a organização:
-
Defina uma estratégia de desenvolvimento segura alinhada com o risco de negócio
Estabelecer uma abordagem clara para como as aplicações e serviços são concebidos, construídos e mantidos para reduzir o risco de comprometimento e proteger funcionalidades críticas do negócio. -
Incorporar a segurança nos processos de desenvolvimento e engenharia
Garantir que as práticas de segurança são integradas nas atividades de planeamento, design, desenvolvimento e implementação, em vez de serem aplicadas posteriormente. -
Estabelecer práticas padronizadas de desenvolvimento seguro
Forneça orientações claras para garantir que as práticas seguras de codificação, testes e lançamento são aplicadas de forma consistente entre equipas e projetos. -
Alinhar a segurança do desenvolvimento com ativos críticos e cenários de negócio
Priorize proteções para aplicações e serviços que apoiem ativos de alto valor e operações-chave do negócio. -
Melhorar continuamente com base no risco, vulnerabilidades e feedback
Utilize informações provenientes de vulnerabilidades, incidentes e resultados dos testes para reforçar as práticas de desenvolvimento e reduzir o risco ao longo do tempo.
Gerir a mudança
A segurança moderna do desenvolvimento é normalmente implementada através de uma abordagem DevSecOps que combina entrega ágil com práticas essenciais de governação e qualidade antes do lançamento.
Em vez de escolher entre velocidade e segurança, o DevSecOps foca-se em proteger aspetos-chave do ciclo de vida do desenvolvimento para mitigar riscos urgentes, sem prejudicar ciclos de lançamento rápidos:
Proteja o design – Use padrões comprovados de design de segurança e valide os designs através da modelação de ameaças. Proteja o código – Siga práticas de codificação segura e valide software e dependências. Proteger o pipeline – Validar o processo do pipeline e proteger os sistemas de CI/CD contra comprometimento e alterações não autorizadas. Garantir a rastreabilidade das alterações no pipeline e do software que passa pelo pipeline. Operações seguras – Garantir que as cargas de trabalho implementadas seguem as melhores práticas de configuração, correção e operações.
As equipas podem melhorar os resultados refinando continuamente a colaboração entre desenvolvimento, segurança e operações, equilibrando objetivos funcionais de entrega com fiabilidade e redução de riscos.
Esta melhoria incremental contínua deve ser aplicada tanto à produção de trabalho (código de software produzido no ciclo de vida) como à maturação do próprio ciclo de vida do desenvolvimento.
Defina um processo DevSecOps
A Segurança do Desenvolvimento é normalmente implementada através de um modelo operacional DevSecOps que evolui ao longo do tempo em vez de parecer totalmente formado. O DevSecOps une desenvolvimento, segurança e operações para alcançar melhores resultados através da melhoria contínua.
A maioria das organizações avança por estas fases:
Desenvolvimento (Dev) – A primeira versão em produção foca-se na entrega de um produto minimamente viável (MVP) que cumpra os requisitos essenciais do negócio. DevOps – Após o lançamento inicial, as equipas concentram-se na iteração rápida, estabilidade operacional e governação através da entrega contínua. DevSecOps – À medida que a colaboração amadurece, desenvolvimento, segurança e operações trabalham em conjunto para refinar continuamente os processos e equilibrar velocidade, risco e fiabilidade.
Esta progressão permite às organizações melhorar os resultados de segurança sem sacrificar agilidade ou inovação.
Estabelecer uma base segura para o MVP
Um passo fundamental neste modelo é definir o que constitui um produto mínimo viável (MVP) do ponto de vista do desenvolvimento, segurança e operações. Estabelecer esta linha de base partilhada cria clareza entre as equipas e permite uma melhoria consistente ao longo do tempo.
| Componente | Detalhes |
|---|---|
| Dev (elopment) | Garantir que o software cumpre os requisitos mínimos de negócio e funcionais. |
| Segredo | Garantir que o software cumpre os requisitos mínimos de segurança e conformidade. |
| Op(eration)s | Garantir que o software cumpre os requisitos mínimos de qualidade, fiabilidade e prontidão operacional. |
Os requisitos de MVP variam consoante a organização e o setor e são influenciados pelo apetite pelo risco, exposição regulatória e criticidade para o negócio. Estes requisitos frequentemente evoluem à medida que a organização, o panorama de ameaças e os modelos de entrega mudam.
Melhoria contínua de software
Após o lançamento inicial em produção, as cargas de trabalho passam para ciclos de melhoria contínua. Nesta fase, o desenvolvimento, a segurança e as operações refinam tanto o software como o processo de entrega. Os esforços de segurança centram-se em:
- Integrar a segurança de forma nativa nos fluxos de trabalho de desenvolvimento, utilizando as mesmas ferramentas e modelos de priorização que outros trabalhos de engenharia
- Identificar, priorizar e corrigir rapidamente bugs de segurança como parte dos ciclos de lançamento padrão.
Esta abordagem está alinhada com as aprendizagens da Iniciativa Microsoft Futuro Seguro (SFI), como prPaved Paths, onde as práticas seguras são incorporadas em plataformas e processos em vez de serem aplicadas externamente.
Com o tempo, esta aprendizagem contínua ajuda as equipas a refinar requisitos, a agilizar a colaboração e a equilibrar melhor a velocidade de entrega, segurança e fiabilidade.
Papéis disciplinares e colaboradores
A disciplina de Segurança de Desenvolvimento é normalmente gerida por equipas que desenvolvem aplicações e produtos.
Os papéis principais nesta disciplina incluem:
- Gestores de entrega de tecnologia e de produto
- Programadores de software (incluindo desenvolvimento de IA)
- Engenheiros de segurança de software
- Engenheiros de DevOps e de plataformas
- Funções de engenharia de testes e qualidade
- Funções na cadeia de abastecimento e de segurança das dependências
Colaboradores-chave incluem:
- Liderança empresarial e técnica – Fornecer patrocínio e priorização
- Funções de arquitetura – Orientar decisões seguras de design e integração
- Funções disciplinares de Estratégia de Segurança, Integração e Governação – Fornecer política, educação e supervisão
- Equipas de infraestrutura e plataforma – Permitir ambientes de desenvolvimento seguros
- Operações de Segurança (SecOps) – Monitorizar e responder quando aplicações são atacadas
Alinhamento com outras disciplinas
A Segurança do Desenvolvimento está fortemente integrada com outras disciplinas do SAF:
- Acesso e Identidades – Protege as identidades dos programadores, da carga de trabalho e dos serviços.
- Segurança de Infraestruturas – Protege plataformas que executam aplicações e pipelines.
- Segurança dos Dados – Garante que os dados sensíveis estão protegidos ao longo de todo o ciclo de vida do software.
- SecOps – Deteta e responde a ataques ao nível da aplicação.
- Estratégia de Segurança, Integração e Governação – Alinha as práticas de desenvolvimento às prioridades de risco da empresa.
Em conjunto, estas disciplinas garantem que a segurança do software apoia resultados empresariais e de segurança mais amplos.
Alinhamento com pilares tecnológicos
Executar a estratégia para a disciplina de segurança do desenvolvimento requer controlos de segurança em múltiplos pilares tecnológicos.
O alinhamento com os pilares tecnológicos inclui:
- Identidades: Protege as identidades e credenciais dos programadores e da carga de trabalho.
- Endpoints: Protege as estações de trabalho dos programadores e os sistemas de construção.
- Infraestrutura: Protege as plataformas que alojam código, pipelines e cargas de trabalho.
- Aplicações: Fornece um foco principal para as práticas de segurança do desenvolvimento.
- Dados: Protege os dados utilizados, gerados e armazenados pelas aplicações.
- Rede: Desenha software para operar de forma segura em redes não confiáveis.
- IA: Protege componentes e modelos de IA usados em aplicações modernas.
Esta amplitude garante que a disciplina aborda caminhos de ataque reais.
E agora?
Orientações adicionais para estratégias de segurança de desenvolvimento encontram-se na estratégia de segurança de desenvolvimento.
Faz um workshop
A Microsoft Unified oferece workshops liderados por especialistas para ajudar as organizações a modernizar a sua disciplina de segurança de desenvolvimento. Estes workshops incluem:
- Workshops de arquitetura e estratégia - O Security Adoption Framework (SAF) - Sessão de conceção de arquitetura: workshop de segurança da infraestrutura e do desenvolvimento centra-se em acelerar a modernização da segurança no desenvolvimento e a sua integração com a segurança da infraestrutura. Este workshop está disponível como uma discussão com menos de quatro horas de duração, focada nos principais aprendizados e nas melhores práticas.
- workshops de adoção de tecnologia: A Microsoft Unified tem workshops para ajudar as organizações a aprender, planear, implementar e otimizar a utilização da Tecnologia de Segurança do Desenvolvimento Microsoft, como ilustrado neste diagrama.
Revise o Ciclo de Vida de Desenvolvimento Centrado na Segurança da Microsoft
O Ciclo de Vida de Desenvolvimento Contínuo de Segurança da Microsoft fornece uma metodologia para desenvolver software de forma segura. O Ciclo de Vida do Desenvolvimento de Segurança (SDL) é a abordagem que a Microsoft utiliza para integrar a segurança nos processos DevOps (por vezes chamada de abordagem DevSecOps). A orientação de segurança para o desenvolvimento do SAF ajuda-o a adaptar a abordagem e as práticas SDL à sua organização.
Pode aplicar as práticas descritas na abordagem SDL a todos os tipos de desenvolvimento de software e todas as plataformas, desde a clássica cascata até às abordagens DevOps modernas. Esta abordagem de segurança de software geralmente aplicável funciona em qualquer tipo de software e plataforma.
Para mais informações, consulte Ciclo de Vida de Desenvolvimento Centrado na Segurança da Microsoft (SDL).
A segurança eficaz do desenvolvimento exige o seguimento de um ciclo de vida de desenvolvimento de segurança (SDL) como o Ciclo de Vida de Desenvolvimento Centrado na Segurança da Microsoft (SDL)
Passos seguintes
Saiba mais sobre a transição do DevOps para o DevSecOps.