A cultura come as ferramentas ao pequeno-almoço. Pode ter os melhores scanners do mundo, mas se a sua equipa revirar os olhos cada vez que se fala em "segurança", nada se mantém. Uma cultura de desenvolvimento seguro não tem a ver com mandatos de cima para baixo ou sessões de formação intermináveis. Tem a ver com confiança, propriedade e dinamismo. Esta secção é o seu manual para construir uma cultura de desenvolvimento onde a segurança é apenas parte do trabalho - sem atrasar ninguém ou esgotar as pessoas. Aprenderá como identificar os seus campeões de segurança, como fazer da segurança um desporto de equipa e como manter o moral elevado celebrando as vitórias que importam.

Imagem de marcador de posição: Descrição da imagem: Equipa de desenvolvimento a trabalhar em conjunto em torno de um painel de controlo de segurança partilhado, com destaque para um crachá de "Campeão de Segurança" colocado num dos membros da equipa.

Campeões da segurança: A sua arma secreta na equipa de desenvolvimento

Como escolhê-los (Dica: nem sempre é o mais antigo)

Um grande defensor da segurança não é necessariamente a voz mais alta ou a pessoa com "diretor" no seu título. Procure o programador que se preocupa com a qualidade, que faz perguntas nas revisões de código ou que já assinala problemas em que mais ninguém repara. Eles são curiosos, respeitados e dispostos a aprender. Eles não precisam de saber tudo - só precisam de se preocupar o suficiente para detetar sinais de alerta e perguntar: "Ei, devemos verificar isto?"

Como capacitá-los

Quando tiveres um campeão, apoia-o. Dê-lhes tempo para aprender, espaço para liderar e ferramentas que realmente ajudem. Deixe-o ser coproprietário de predefinições seguras, orientar a integração de novos membros da equipa ou ser o primeiro a testar novas ferramentas. Reconheça o seu trabalho. Inclua-os no planeamento do produto desde o início. Os campeões prosperam quando sentem confiança - não quando são tratados como polícias de segurança em part-time.

Tornar a segurança uma tarefa de todos

A segurança não é uma tarefa separada. Ela faz parte da construção de um bom software. Normalizar a verificação da lógica de autenticação em PRs. Normalizar a sinalização de uma chamada de API incompleta durante o planeamento do sprint. Incorporar tarefas de segurança em tickets regulares, não em um backlog separado. O objetivo é tornar a segurança visível e partilhada - para que não seja apenas "perguntar ao SecOps" quando algo parece estar errado. Quanto mais incorporada estiver, mais natural se torna.

Reforço positivo: Celebrar as vitórias em matéria de segurança

Ninguém quer outra análise de incidentes. Mas celebrar as vitórias em matéria de segurança? Isso é uma mudança de cultura. Dêem um toque quando alguém assinala um bug mais cedo ou fecha um bilhete de alto risco antes de chegar ao prod. Adicionar contribuições de segurança às demonstrações de sprint. Criar tabelas de classificação internas de "caça-vulnerabilidades". Não são necessários truques de gamificação. Basta deixar claro que o trabalho seguro é um bom trabalho - e ele é notado.

Perceção: Uma cultura de desenvolvimento seguro não se constrói através de mandatos - constrói-se através de um impulso. Quando as equipas se sentem responsáveis, vêem o impacto e obtêm crédito por fazerem o que está certo, os hábitos de segurança deixam de parecer uma sobrecarga. Vamos falar sobre como medir esse impacto sem cair em métricas de vaidade.