O ciclo de vida de desenvolvimento de software (SDLC) sempre foi seguido por testes funcionais para garantir que as soluções de software tenham todos os recursos e funções necessárias. Devido ao número crescente de ataques cibernéticos, as partes interessadas no desenvolvimento de software são forçadas a implementar testes de segurança como o caminho principal no SDLC para evitar vulnerabilidades e falhas em aplicativos ou software (ativos). 

Uma avaliação de segurança de software precisa procurar pontos fracos com o objetivo de impedir que agentes mal-intencionados explorem esses pontos fracos. E não é aplicável apenas a uma fase – é segurança adicional em cada fase de desenvolvimento de software (design, desenvolvimento, implantação, manutenção) e durante a entrega do produto.

SDLC no Spotify

De uma perspectiva de segurança de aplicativos o Spotify leva em consideração a mentalidade, os procedimentos e as soluções adotadas dentro da organização e no ciclo de vida de desenvolvimento de software para proteger os aplicativos.

Então, o que acontece para proteger o SDLC? O programa de segurança de aplicativos do Spotify apresenta várias ferramentas que verificam aplicativos e relatam vulnerabilidades. Os controles reativos. Um desses controles reativos é o Snyk. O ciclo de vida das vulnerabilidades é rastreado na plataforma de gerenciamento de vulnerabilidades, fornecendo aos proprietários de ativos e equipes de operação uma maneira de corrigir vulnerabilidades e gerenciar riscos de acordo com as políticas internas de gerenciamento de vulnerabilidades, melhorando a segurança. Por meio de esforços de automação, as equipes mantêm o software, ativo e componentes íntegros e atualizados, fornecendo uma camada adicional de força no programa de segurança. Isso permite escalar com mais rapidez e segurança. No Spotify há um consumo de grandes quantidades de software, como bibliotecas, serviços, aplicativos e infraestrutura – cada um pode estar sujeito a ataques à cadeia de suprimentos – queremos ter certeza de que os consumidores podem confiar na fonte do software e, por sua vez, continuar sendo um fornecedor de software de qualidade para os clientes. Este é o principal objetivo da iniciativa de cadeia de suprimentos segura — prevenir ataques que possam atingir qualquer fase do ciclo de vida do desenvolvimento de software.

o Spotify se  concentra em duas áreas principais ao pensar em testes de segurança em SDLC:

Cobrindo a ampla variedade de idiomas e gerenciadores de pacotes do Spotify.

Ter uma solução flexível o suficiente para integrar-se ao CI/CD existente.

Para abordar essas áreas, Snyk é integrado ao pipeline de compilação do Spotify, o que permite a capacidade de procurar vulnerabilidades nas compilações de revisão. Isto é implementado em fases, priorizando serviços de perímetro e serviços com acesso a dados confidenciais. Essa ferramenta já tinha suporte para quase todos os idiomas e gerenciadores de pacotes, e a equipe da Snyk tem  planos de estender o suporte a outras áreas da empresa.

O que parece da perspectiva de um desenvolvedor

O Spotify tem milhares de engenheiros, por isso é fundamental implementar a automação de testes de segurança, mantendo as necessidades do desenvolvedor em mente e liberando-os para se concentrarem em suas próprias prioridades. Para algumas linguagens e estruturas, a automação é  incorporada automaticamente e também a verificação de vulnerabilidade em pipelines de CI/CD, portanto, a adoção não exige nenhuma ação dos desenvolvedores. Para outras linguagens e estruturas não cobertas pelo processo automático, é disponibilizado um guia simples para que os desenvolvedores ativem as varreduras Snyk como uma etapa de construção de seu aplicativo. Agora, o número de projetos digitalizados continua a aumentar.

O futuro do SDLC seguro no Spotify

Os vetores de ataque estão evoluindo tão rapidamente quanto a indústria de software, e é importante fornecer uma abordagem holística para proteger o desenvolvimento de software. Uma abordagem é gerar correções automaticamente e mesclá-las sem qualquer intervenção das equipes de engenharia ou segurança. Além disso, é preciso  rastrear o ciclo de vida das vulnerabilidades usando várias APIs fornecidas pela Snyk e integrando esses dados na plataforma de gerenciamento de vulnerabilidades. Outras abordagens incluem análise de código-fonte, atualização em toda a frota por meio de automação e gerenciamento da cadeia de suprimentos para evitar vulnerabilidades, concentrando-se na segurança em todas as fases do desenvolvimento.