Low-Code é seguro?

Por Forsyth Alexander, Product Marketing Manager da OutSystems

A segurança está na mente de todos os profissionais de TI. Portanto, não é nenhuma surpresa que, ao avaliar o low-code, eles certamente perguntem: “é uma tecnologia segura?" Responderemos a esta e outras dúvidas que os gerentes de TI têm sobre segurança e onde ela, atualmente, se encaixa no desenvolvimento de software.

O estado da segurança no desenvolvimento de software

Os crimes virtuais continuam evoluindo e se tornando mais sofisticados à medida que as empresas entram em novos estágios de maturidade digital, isso não é nenhuma novidade. As crescentes ameaças cibernéticas levaram CIOs e CISOs a repensarem a maneira de como suas equipes de desenvolvimento produzem software. Dois fatores principais levaram a essa mudança: A falta de profissionais de cibersegurança disponíveis no mercado; uma demanda cada vez maior para adotar práticas de DevSecOps.

1. É um ótimo momento para ser um profissional de segurança cibernética

De acordo com o Cybersecurity Jobs Report, em 2021, havia 3,5 milhões de empregos em segurança cibernética não preenchidos, um número que não deve diminuir antes de 2025. O aumento nos crimes virtuais está alimentando a demanda por especialistas neste setor muito mais rápido do que a indústria e as universidades podem fornecer talentos brutos. É um ótimo momento para ser um profissional de segurança cibernética e um momento difícil se você estiver tentando contratar um.

O conselho do Gartner sobre como preencher essa lacuna de talentos em segurança cibernética é “automatizar as partes chatas”, como revisões manuais de registros, para que os membros qualificados da equipe possam usar seu tempo em atividades que agregam valor. E em um relatório recente do grupo de defesa da segurança cibernética (ISC)2, o uso de inteligência e automação para tarefas manuais de segurança cibernética foi identificado como um dos principais investimentos em tecnologia para superar a lacuna de talentos.

2. DevSecOps: o novo garoto do bairro

Entre o crescimento nos ataques de ransomware, a falta de limites claros para dados organizacionais e o aumento do risco com o desenvolvimento colaborativo do desenvolvedor cidadão, vemos um aumento na demanda por DevSecOps. Nessa abordagem, ao invés do teste de segurança ser um esforço heroico no final do ciclo de vida de entrega do software, ele é incorporado desde o início.

Essa mentalidade de “shift-left” faz com que os desenvolvedores assumam a responsabilidade pela segurança, desde a coleta e análise de requisitos até o design, implementação e teste da arquitetura. Porém, esse mundo ideal, onde a segurança está embutida nas diversas etapas do ciclo de vida do app, é bem diferente da realidade.

De acordo com o Relatório State of DevSecOps da Contrast Security:

  • 79% das organizações pesquisadas dizem que sua equipe de DevOps está sob crescente pressão para reduzir os ciclos de lançamento.
  • 40% dos entrevistados relatam que suas equipes às vezes ou frequentemente pulam processos de segurança para cumprir prazos.
  • 62% dizem que os desenvolvedores param de programar para corrigir vulnerabilidades pelo menos a cada dois ou três dias, e 27% o fazem diariamente.
  • Quase 8 em cada 10 entrevistados dizem que o aplicativo médio tem 20 ou mais vulnerabilidades.

Este relatório mostra que os líderes de TI têm uma luta difícil pela segurança cibernética. Por um lado, é difícil recrutar desenvolvedores com as habilidades de segurança necessárias. Por outro, treinar sua equipe existente para infundir práticas de segurança em todo o ciclo de vida leva tempo e resiliência. Evitar que as velocidades de desempenho e os cronogramas de lançamento superem as prioridades de segurança pode até limitar a carreira.

Não tema: low-code está aqui

Em recente pesquisa, o Gartner apontou a segurança como um dos principais obstáculos à adoção do low-code, juntamente com o bloqueio do fornecedor e o débito técnico. A razão para esses “medos” tem mais a ver com a percepção do que com o fato.

A razão para esse “medo” tem a ver com o fato de que as plataformas low-code abstraem o código, que é percebido como um sacrifício às condutas de segurança, como a prevenção de vulnerabilidade, ameaça e de erros, por agilidade. Isso é especialmente verdadeiro quando falamos de plataformas de desenvolvimento que atendem a usuários corporativos (os chamados desenvolvedores cidadãos).

Outra razão pela qual a segurança é um obstáculo tem relação com a ideia de que o low-code requer profissionais de segurança cibernética ainda mais especializados do que o DevSecOps. Há também o medo de investir tempo e recursos treinando equipes inteiras de desenvolvimento em segurança para low-code, enquanto as pendências de TI continuam se acumulando.

Como o low-Code pode ajudar

A verdade, no entanto, é que o low-code tem um lugar no cenário atual de segurança de desenvolvimento de software. Ao contrário da opinião popular, o desenvolvimento de aplicativos tradicionais nem sempre leva a segurança em consideração - ou alguém o coloca no lugar mais tarde. Por outro lado, até mesmo as plataformas low-code mais básicas já oferecem proteções de segurança, que permitem testar automaticamente vulnerabilidades e desempenho, e integrar-se às ferramentas de teste existentes. Essa automação reduz as etapas manuais de segurança e aumenta significativamente a produtividade do desenvolvedor.

Agora, para casos de uso de segurança corporativa, as plataformas low-code mais básicas podem não ser suficientes. Se você estiver lidando com setores altamente regulamentados, como finanças e saúde, precisará garantir que a plataforma de desenvolvimento esteja em conformidade com estas regras.

Muitas plataformas low-code não são. Por exemplo, com uma plataforma que disponibiliza um serviço regular de low-code, as atualizações que o fornecedor implementa podem não ser consistentes com sua política de segurança. Mesmo grandes nomes como a Microsoft tiveram seus desafios.

Além disso, uma empresa cheia de desenvolvedores cidadãos precisa de cuidados especiais de segurança e carregamento. Esses cidadãos podem ser pessoas altamente técnicas, mas não têm a experiência ou conhecimento de desenvolvedores profissionais para serem sensíveis às responsabilidades de segurança e interdependências entre aplicativos.

Não ajuda que nem todas as plataformas low-code forneçam os mesmos recursos ou cubram os mesmos casos de uso. E a segurança é um dos principais diferenciais entre as plataformas low-code regulares e as de alta performance.

Share This Post

Post Comment