Segurança de aplicações
Shift-Left Security
Também conhecido como: Shift left, Testes de segurança antecipados
Definição
Prática de antecipar as atividades de segurança no ciclo de vida do software para encontrar e corrigir vulnerabilidades antes que o código chegue à produção.
Exemplos
- Adicionar um pre-commit hook com Semgrep para que desenvolvedores vejam os achados antes de fazer push.
- Executar Checkov sobre Terraform no CI para bloquear configurações de nuvem inseguras.
Termos relacionados
DevSecOps
Cultura e conjunto de práticas que integra responsabilidades de segurança aos fluxos DevOps para entregar software seguro de forma contínua e ágil.
Ciclo de vida seguro de desenvolvimento (SSDLC)
Ciclo de desenvolvimento em que as atividades de segurança são incorporadas em cada fase, dos requisitos e design ao código, testes, release e operação.
SAST (Static Application Security Testing)
Análise automatizada de código-fonte, bytecode ou binários — sem executar — para encontrar fraquezas de segurança como injeção, APIs inseguras ou criptografia fraca.
SCA (Software Composition Analysis)
Análise automatizada dos componentes open source e de terceiros da aplicação para identificar vulnerabilidades conhecidas, problemas de licença e dependências desatualizadas ou arriscadas.
Modelagem de ameaças
Análise estruturada que identifica os ativos, ameaças, vulnerabilidades e mitigações de um sistema para integrar a segurança desde o desenho.
Secure Coding
Secure Coding — definition coming soon.