O que significam todas as siglas de segurança?
Provavelmente está aqui porque está inundado (e farto!) com a quantidade de siglas relacionadas a ferramentas, plataformas e processos de segurança. Todos os fornecedores de software querem se diferenciar num mercado saturado com novos recursos, deixando os programadores e profissionais de segurança exaustos.
Então, aqui está a nossa lista prática de siglas de segurança para ajudá-lo a entender o que é o quê.
CVE: Vulnerabilidades e Exposições Comuns
- O que isso significa para os desenvolvedores de aplicativos?
CVEé o catálogo público de vulnerabilidades conhecidas operado pela organização sem fins lucrativos MITRE Corporation. Desde o seu lançamento em 1999, tornou-se o padrão para relatar problemas de segurança cibernética e fornece a espinha dorsal para a maioria AppSec que verificam seus aplicativos em busca de problemas.
O termo CVE pode ser um pouco confuso, porque muitos profissionais e empresas de segurança usam«CVEs»para se referir às vulnerabilidades em si, e não ao catálogo público. Quando o site de uma empresa diz: «O nosso ASPM protege-o contra CVEs graves», isso significa que a sua plataforma analisa o seu código, dependências e configurações na nuvem em busca de correspondências com uma ou mais vulnerabilidades específicas reconhecidas no catálogo CVE. - Precisa de se preocupar? 👍
O CVE como sistema e os CVEs como vulnerabilidades ou exposições individuais desempenham um papel fundamental na segurança. O importante é garantir que tem uma plataforma que o informe sobre eles e lhe ofereça um caminho tranquilo para a correção.
SAST: Testes de segurança de aplicações estáticas
- também conhecida como análise estática
- O que isso significa para os desenvolvedores de aplicativos?
SAST verificam eficazmente o código-fonte em busca de vulnerabilidades. Pense nisso como uma forma de garantir a segurança no início do processo de desenvolvimento, bem como ao longo do ciclo de vida do desenvolvimento de software (SDLC, sim, outra sigla), mas apenas para o código. Não se concentra na funcionalidade da sua aplicação ou na forma como será implementada. - Precisa de se preocupar? 👍
SAST são como um corretor ortográfico para AppSec: uma parte focada, mas essencial, do seu kit de ferramentas. Idealmente, SAST sua SAST funcionará o mais cedo possível no desenvolvimento — no seu IDE, como um gancho Git pré-confirmação ou no seu pipeline de CI — ajudando-o a detectar problemas mais cedo, o que reduzirá o seu impacto em termos de mitigação e recursos.
DAST: Testes Dinâmicos de Segurança de Aplicações (ou Testes de Segurança em Tempo de Execução)
- O que isso significa para os desenvolvedores de aplicativos?
Pense no DAST a versão "viva" do SAST. DAST testam o seu aplicativo com ataques simulados enquanto ele é executado em um ambiente semelhante ao de produção. Dessa forma, você pode corrigir falhas de segurança antes que os invasores as encontrem. DAST não se importam com a finalidade do seu aplicativo, apenas se ele é vulnerável a ataques críticos conhecidos. - Precisa de se preocupar? 👍
Sim, de forma moderada a curto prazo, sim, de forma intensa a longo prazo. Tradicionalmente, DAST o domínio dos engenheiros de DevOps ou SecOps, mas à medida que mais organizações transferem AppSec para os programadores, os superiores e os responsáveis pelas operações irão inevitavelmente pedir-lhe para integrar e interagir com estas ferramentas mais cedo ou mais tarde.
IAST: teste interativo de aplicações e segurança
- também conhecido como: RASP (veja abaixo!)
- O que isso significa para os desenvolvedores de aplicações?
O IAST é como um filho do SAST DAST, combinando ambas as abordagens no seu IDE e como parte do seu pipeline de CI/CD. Ao contrário das outras duas abordagens, o IAST usa um agente incorporado na sua aplicação que se conecta aos seus testes funcionais existentes para procurar problemas como credenciais codificadas e entradas de utilizador não sanitizadas. - Precisa de se preocupar? 🤷
Se já utiliza DAST SAST DAST no seu ciclo de vida de desenvolvimento, poderá ganhar pouco ao adicionar uma alternativa específica para IAST ao seu kit de ferramentas. No entanto, se é novo nos AppSec e teve de escolher uma única ferramenta para cobrir todas as suas bases, poderá apreciar a combinação única de abrangência e rapidez dos resultados.
ASPM: gestão da postura de segurança das aplicações
- O que isso significa para os desenvolvedores de aplicações?
As plataformas ASPM funcionam como observabilidade de segurança para as suas aplicações. Você pode coletar dados de várias fontes, verificar correlações e priorizar problemas em várias aplicações com insights contextuais e ajuda para correção. Elas também podem ser muito úteis para avaliação e priorização de riscos, especialmente em setores com padrões de conformidade mais rígidos. - Precisa de se preocupar? 👍
Do ponto de vista operacional ou de manutenção, provavelmente não, mas os ASPMs estão a tornar-se a norma para organizações de todos os tamanhos — a ideia é reduzir o número de soluções pontuais de segurança e usar uma AppSec abrangente que possa englobar SAST, DAST outras funcionalidades. Portanto, é muito provável que você se depare com ASPMs em algum momento.
CSPM: segurança na nuvem gestão segurança na nuvem
- O que isso significa para os desenvolvedores de aplicativos?
CSPM é a observabilidade de segurança para as suas implementações na nuvem. Estas ferramentas ajudam a identificar ou visualizar riscos para a sua infraestrutura na nuvem e recomendam a melhor forma de corrigir configurações incorretas, como controlos de acesso para contas de serviço, que podem causar dores de cabeça no futuro. - CSPM as plataformas baseiam-se em práticas de Infraestrutura como Código (IaC), verificando os seus ficheiros de configuração antes da implementação e emitindo alertas antes de passar para a produção.
- Precisa de se preocupar? 🤷
Depende da equipa com que trabalha. Se é um programador de aplicações também responsável pela configuração de ambientes de produção com um fornecedor de serviços na nuvem, então CSPM pode estar no seu horizonte. Se se concentra principalmente na lógica de negócios, enquanto outros lidam com o lado operacional, talvez nunca interaja com um CSPM.
DSPM: gestão da postura de segurança de dados
- também conhecido como: segurança «dados em primeiro lugar»
- O que isso significa para os desenvolvedores de aplicações?
Semelhante às outras categorias de «gestão de postura», as ferramentas DSPM fornecem visibilidade sobre o armazenamento e uso de dados da sua organização. Elas localizam informações confidenciais, calculam o risco envolvido em onde e como você as armazenou e oferecem caminhos para melhorar a sua postura de segurança. - Os DSPMs podem até automatizar a classificação de dados, influenciando a forma como você lida e armazena informações em seus aplicativos, especialmente se elas fluem entre vários aplicativos ou APIs baseadas em microsserviços dentro da sua infraestrutura.
- Precisa de se preocupar? 👎
Geralmente, não. Os DSPMs são bastante complexos no âmbito da cibersegurança — ideais para equipas de segurança dedicadas em grandes empresas ou corporações, e não para equipas menores de desenvolvimento de aplicações em startups ou pequenas e médias empresas.
VM: gerenciamento de vulnerabilidades
- também conhecido como: gerenciamento de vulnerabilidades (VMS), ameaças e gerenciamento de vulnerabilidades TVM), avaliação de vulnerabilidades, verificação de vulnerabilidades, gerenciamento de vulnerabilidades técnico gerenciamento de vulnerabilidades
- O que isso significa para os desenvolvedores de aplicativos?
VM é uma abordagem holística para identificar e corrigir vulnerabilidades em seu código, configurações e implementações em nuvem, geralmente agregando dados de varredura AppSec adicionais representadas por muitas dessas mesmas siglas.
Essas plataformas ajudam a implementar um ciclo de melhoria contínua em torno da segurança, classificando as vulnerabilidades descobertas de acordo com o Sistema Comum de Pontuação de Vulnerabilidades (CVSS). Isso ajuda a priorizar aquelas que devem ser atacadas imediatamente e aquelas que podem ser deixadas para o próximo sprint... ou próximo trimestre. - Precisa de se preocupar? 🤷
Isso depende realmente da plataforma VM que a sua organização está a validar ou já está a utilizar.
As plataformas VM tradicionais são, na maioria das vezes, território das equipas de segurança/operações de TI, pessoal de conformidade e gestão de riscos, engenheiros de DevOps e até mesmo testadores de penetração — pessoas com muito mais experiência em segurança e com muito mais em jogo se o código for para produção em um estado inseguro. Dito isso, algumas AppSec são projetadas para ajudar os programadores a gerir suas vulnerabilidades técnicas com menos falsos positivos e correções instantaneamente relevantes.
SCA: análise de composição de software
- também conhecido como: análise de componentes
- O que isso significa para os desenvolvedores de aplicativos?
Lembra-se de todos aqueles pacotes que você adicionou ao seu aplicativo com npm, go get, pip e assim por diante? Cada uma dessas dependências se espalha por dezenas de outras, e todas elas trazem novos riscos para vulnerabilidades de código e configuração. A disponibilidade de pacotes de código aberto é uma bênção para a produtividade, mas acarreta um custo significativo para a segurança.
SCA As ferramentas SCA verificam a sua cadeia de fornecimento de código aberto em busca de vulnerabilidades ou possíveis problemas relacionados ao licenciamento de código aberto, e algumas até oferecem atualizações imediatas. - Precisa de se preocupar? 👍👍
SCA permitem-lhe construir com segurança sobre todas as maravilhosas estruturas, projetos e bibliotecas de código aberto, proporcionando-lhe toda a velocidade necessária sem sacrificar a segurança. Imprescindível para desenvolvedores de aplicativos que buscam uma base de AppSec .
RASP: autoproteção de aplicações em tempo de execução
- também conhecido como: proteção no aplicativo , firewall incorporado no aplicativo, segurança incorporada no aplicativo, segurança em tempo de execução, IAST
- O que isso significa para os desenvolvedores de aplicativos?
As ferramentas RASP são incorporadas diretamente em um aplicativo para detectar e bloquear ataques sem a necessidade de infraestrutura externa, como WAFs (veja abaixo). As informações de segurança em tempo real e a abordagem "hands off" são atraentes para alguns, mas como elas operam dentro do seu aplicativo, você precisará analisar qualquer degradação de desempenho e ponderar esse impacto em relação à tranquilidade que você obtém com a proteção contra ataques comuns, como injeção (No)SQL, traversal de caminho, injeção de shell e muito mais. - Precisa de se preocupar? 👍
Se tem poucos talentos em desenvolvimento e segurança, as ferramentas RASP podem ser um atalho fantástico para proteger a sua aplicação e os dados dos utilizadores contra ataques automatizados. Elas são certamente muito mais fáceis de implementar e gerir do que as suas primas em rede, as WAFs, o que as torna uma ótima escolha para desenvolvedores de aplicações que não querem o custo e a complexidade de mais infraestrutura.
Também deve se preocupar com o nosso projeto de firewall de código aberto para aplicações Node.js. Não gostamos muito do termo RASP — não o verá em nenhum lugar no nosso repositório GitHub —, mas o firewall funciona da mesma forma para detetar e bloquear todas as vulnerabilidades críticas sem que tenha de alterar uma única linha de código.
WAF: firewall de aplicação web
- também conhecido como: WAAP (proteção de aplicações web e API)
- O que isso significa para os desenvolvedores de aplicações?
Essa implementação local ou baseada na nuvem fica na extremidade da sua infraestrutura, como o primeiro ponto de contacto entre um utilizador (ou invasor) e a sua aplicação, «interceptando» o tráfego destinado à sua aplicação por meio do DNS. Eles executam rapidamente centenas de correspondências de padrões regex nas primeiras centenas de kilobytes da solicitação recebida e bloqueiam qualquer código potencialmente malicioso.
O resultado é quase idêntico ao das ferramentas RASP, mas os WAFs estão ainda menos preocupados com o funcionamento da sua aplicação ou com o que ela deve fazer. - Precisa de se preocupar? 👎
Na nossa humilde opinião, não. Deve saber o que são e qual a sua função pretendida, mas, como programador de aplicações, existem muitas outras AppSec que pode implementar com muito mais facilidade do que entrar no território WAF. São conhecidos pelos falsos positivos e pela degradação do desempenho, o que inevitavelmente afetará a experiência dos seus utilizadores finais legítimos.
Também não gostamos de chamar Aikido de WAF, mas ele executa todas as mesmas funções com muito mais precisão e eficiência.
O que vem a seguir?
Parabéns por concluir a sua corrida rápida pelas AppSec !
Quer sinta-se compelido a continuar com esta lista dolorosamente longa de acrónimos para se informar melhor, ou queira esconder-se de tudo o que diz respeito à segurança no conforto do seu IDE em modo escuro, lembre-se de que o objetivo não é tornar-se um AppSec ambulante AppSec . Ninguém ficará impressionado por conseguir explicar durante dez minutos as diferenças entre ASPM, CSPM, DSPM e todos os outros — eles ficarão impressionados se você puder recomendar rapidamente a AppSec certa para a situação específica deles.
4.7/5
Proteja seu software agora
.avif)
