O fim dos times de AppSec

Hoje temos times de cybersegurança estão bem consolidados nas organizações, com pessoas dedicadas inclusive a análise de aplicações, mas a integração nunca é fluída, dificilmente o time responsável por arquitetura, análise e testes estão de fato próximos aos times de desenvolvimento. Mas será que mesmo que estivessem próximos aos times de engenharia seria viável acompanhar a curva de entrega dos times de desenvolvimento? Isso sempre foi uma questão de reflexão, paradoxal ao ponto de estar como um cão correndo atrás do próprio rabo.

Após algumas situações de análise de requisitos em meu atual empregados junto com meu time e pesquisas, encontrei uma boa referência no material apresentado pelo Justin Collins (@presidentbeef) na Lonestar Application Security Conference (LASCON) de 2019, que ocorre todos os anos em Austin, TX.

“Sua equipe de segurança de aplicações é grande o suficiente? Depois de crescer além de algumas pessoas, as equipes de segurança geralmente se desesperam tentando contratar mais pessoal de AppSec. Embora isso seja bom para os profissionais do setor, é ainda matematicamente possível contratar pessoal da AppSec suficiente para lidar com a quantidade de código, recursos, plataformas e produtos que o resto da sua organização está produzindo? Mesmo com todas as ferramentas que se pode comprar, é improvável que o time de AppSec possa acompanhar o ritmo do restante da equipe de desenvolvimento. Se o time de AppSec nunca pode ser grande o suficiente, o que podemos fazer? Bem, vamos entrar em nossas máquinas do tempo, pular a rotina atual do AppSec e dar uma olhada no futuro no final da equipe do AppSec.”