[{"data":1,"prerenderedAt":459},["ShallowReactive",2],{"/pt-br/the-source/authors/josh-lemos/":3,"footer-pt-br":34,"the-source-navigation-pt-br":342,"the-source-newsletter-pt-br":369,"josh-lemos-articles-list-authors-pt-br":381,"josh-lemos-articles-list-pt-br":411,"josh-lemos-page-categories-pt-br":458},{"_path":4,"_dir":5,"_draft":6,"_partial":6,"_locale":7,"config":8,"seo":10,"content":12,"type":26,"slug":27,"_id":28,"_type":29,"title":11,"_source":30,"_file":31,"_stem":32,"_extension":33},"/pt-br/the-source/authors/josh-lemos","authors",false,"",{"layout":9},"the-source",{"title":11},"Josh Lemos",[13,24],{"componentName":14,"componentContent":15},"TheSourceAuthorHero",{"config":16,"name":11,"role":19,"bio":20,"headshot":21},{"gitlabHandle":17,"linkedInProfileUrl":18},"joshlemos","https://www.linkedin.com/in/joshlemos/","Diretor de Segurança da Informação","Com 20 anos de experiência na liderança de equipes de segurança da informação, Josh Lemos é o diretor de segurança da informação da GitLab Inc. Ele é responsável por estabelecer e manter a visão, a estratégia e o programa da empresa para garantir que os ativos e as tecnologias da informação estejam adequadamente protegidos, fortalecendo a plataforma DevSecOps do GitLab e garantindo o mais alto nível de segurança para os clientes.",{"altText":11,"config":22},{"src":23},"https://res.cloudinary.com/about-gitlab-com/image/upload/v1751463405/f4rqtiecakrekvxfhqar.jpg",{"componentName":25},"TheSourceArticlesList","author","josh-lemos","content:pt-br:the-source:authors:josh-lemos.yml","yaml","content","pt-br/the-source/authors/josh-lemos.yml","pt-br/the-source/authors/josh-lemos","yml",{"_path":35,"_dir":36,"_draft":6,"_partial":6,"_locale":7,"data":37,"_id":338,"_type":29,"title":339,"_source":30,"_file":340,"_stem":341,"_extension":33},"/shared/pt-br/main-footer","pt-br",{"text":38,"source":39,"edit":45,"contribute":50,"config":55,"items":60,"minimal":330},"Git é uma marca comercial da Software Freedom Conservancy e nosso uso do nome \"GitLab\" está sob licença",{"text":40,"config":41},"Acessar a origem da página",{"href":42,"dataGaName":43,"dataGaLocation":44},"https://gitlab.com/gitlab-com/marketing/digital-experience/about-gitlab-com/","page source","footer",{"text":46,"config":47},"Editar esta página",{"href":48,"dataGaName":49,"dataGaLocation":44},"https://gitlab.com/gitlab-com/marketing/digital-experience/about-gitlab-com/-/blob/main/content/","web ide",{"text":51,"config":52},"Contribua",{"href":53,"dataGaName":54,"dataGaLocation":44},"https://gitlab.com/gitlab-com/marketing/digital-experience/about-gitlab-com/-/blob/main/CONTRIBUTING.md/","please contribute",{"twitter":56,"facebook":57,"youtube":58,"linkedin":59},"https://twitter.com/gitlab","https://www.facebook.com/gitlab","https://www.youtube.com/channel/UCnMGQ8QHMAnVIsI3xJrihhg","https://www.linkedin.com/company/gitlab-com",[61,88,161,229,291],{"title":62,"links":63,"subMenu":69},"Plataforma",[64],{"text":65,"config":66},"Plataforma DevSecOps",{"href":67,"dataGaName":68,"dataGaLocation":44},"/pt-br/platform/","devsecops platform",[70],{"title":71,"links":72},"Preços",[73,78,83],{"text":74,"config":75},"Confira os planos",{"href":76,"dataGaName":77,"dataGaLocation":44},"/pt-br/pricing/","view plans",{"text":79,"config":80},"Por que escolher o GitLab Premium?",{"href":81,"dataGaName":82,"dataGaLocation":44},"/pt-br/pricing/premium/","why premium",{"text":84,"config":85},"Por que escolher o GitLab Ultimate?",{"href":86,"dataGaName":87,"dataGaLocation":44},"/pt-br/pricing/ultimate/","why ultimate",{"title":89,"links":90},"Soluções",[91,96,101,106,111,116,121,126,131,136,141,146,151,156],{"text":92,"config":93},"Transformação digital",{"href":94,"dataGaName":95,"dataGaLocation":44},"/pt-br/topics/digital-transformation/","digital transformation",{"text":97,"config":98},"Segurança e conformidade",{"href":99,"dataGaName":100,"dataGaLocation":44},"/pt-br/solutions/security-compliance/","security & compliance",{"text":102,"config":103},"Entrega de software automatizada",{"href":104,"dataGaName":105,"dataGaLocation":44},"/pt-br/solutions/delivery-automation/","automated software delivery",{"text":107,"config":108},"Desenvolvimento ágil",{"href":109,"dataGaName":110,"dataGaLocation":44},"/pt-br/solutions/agile-delivery/","agile delivery",{"text":112,"config":113},"Migração para a nuvem",{"href":114,"dataGaName":115,"dataGaLocation":44},"/pt-br/topics/cloud-native/","cloud transformation",{"text":117,"config":118},"SCM",{"href":119,"dataGaName":120,"dataGaLocation":44},"/pt-br/solutions/source-code-management/","source code management",{"text":122,"config":123},"CI/CD",{"href":124,"dataGaName":125,"dataGaLocation":44},"/pt-br/solutions/continuous-integration/","continuous integration & delivery",{"text":127,"config":128},"Gestão de fluxo de valor",{"href":129,"dataGaName":130,"dataGaLocation":44},"/pt-br/solutions/value-stream-management/","value stream management",{"text":132,"config":133},"GitOps",{"href":134,"dataGaName":135,"dataGaLocation":44},"/pt-br/solutions/gitops/","gitops",{"text":137,"config":138},"Grandes empresas",{"href":139,"dataGaName":140,"dataGaLocation":44},"/pt-br/enterprise/","enterprise",{"text":142,"config":143},"Pequenas empresas",{"href":144,"dataGaName":145,"dataGaLocation":44},"/pt-br/small-business/","small business",{"text":147,"config":148},"Setor público",{"href":149,"dataGaName":150,"dataGaLocation":44},"/pt-br/solutions/public-sector/","public sector",{"text":152,"config":153},"Educação",{"href":154,"dataGaName":155,"dataGaLocation":44},"/pt-br/solutions/education/","education",{"text":157,"config":158},"Serviços financeiros",{"href":159,"dataGaName":160,"dataGaLocation":44},"/pt-br/solutions/finance/","financial services",{"title":162,"links":163},"Recursos",[164,169,174,179,184,189,194,199,204,209,214,219,224],{"text":165,"config":166},"Instalação",{"href":167,"dataGaName":168,"dataGaLocation":44},"/pt-br/install/","install",{"text":170,"config":171},"Guias de início rápido",{"href":172,"dataGaName":173,"dataGaLocation":44},"/pt-br/get-started/","quick setup checklists",{"text":175,"config":176},"Saiba mais",{"href":177,"dataGaName":178,"dataGaLocation":44},"https://university.gitlab.com/","learn",{"text":180,"config":181},"Documentação do produto",{"href":182,"dataGaName":183,"dataGaLocation":44},"https://docs.gitlab.com/","docs",{"text":185,"config":186},"Blog",{"href":187,"dataGaName":188,"dataGaLocation":44},"/blog/","blog",{"text":190,"config":191},"Histórias de sucesso de clientes",{"href":192,"dataGaName":193,"dataGaLocation":44},"/customers/","customer success stories",{"text":195,"config":196},"Trabalho remoto",{"href":197,"dataGaName":198,"dataGaLocation":44},"https://handbook.gitlab.com/handbook/company/culture/all-remote/","remote",{"text":200,"config":201},"Serviços do GitLab",{"href":202,"dataGaName":203,"dataGaLocation":44},"/pt-br/services/","services",{"text":205,"config":206},"TeamOps",{"href":207,"dataGaName":208,"dataGaLocation":44},"/pt-br/teamops/","teamops",{"text":210,"config":211},"Comunidade",{"href":212,"dataGaName":213,"dataGaLocation":44},"/community/","community",{"text":215,"config":216},"Fórum",{"href":217,"dataGaName":218,"dataGaLocation":44},"https://forum.gitlab.com/","forum",{"text":220,"config":221},"Eventos",{"href":222,"dataGaName":223,"dataGaLocation":44},"/events/","events",{"text":225,"config":226},"Parceiros",{"href":227,"dataGaName":228,"dataGaLocation":44},"/pt-br/partners/","partners",{"title":230,"links":231},"Empresa",[232,237,242,247,252,257,262,266,271,276,281,286],{"text":233,"config":234},"Sobre",{"href":235,"dataGaName":236,"dataGaLocation":44},"/pt-br/company/","company",{"text":238,"config":239},"Vagas",{"href":240,"dataGaName":241,"dataGaLocation":44},"/jobs/","jobs",{"text":243,"config":244},"Liderança",{"href":245,"dataGaName":246,"dataGaLocation":44},"/company/team/e-group/","leadership",{"text":248,"config":249},"Equipe",{"href":250,"dataGaName":251,"dataGaLocation":44},"/company/team/","team",{"text":253,"config":254},"Manual",{"href":255,"dataGaName":256,"dataGaLocation":44},"https://handbook.gitlab.com/","handbook",{"text":258,"config":259},"Relacionamento com investidores",{"href":260,"dataGaName":261,"dataGaLocation":44},"https://ir.gitlab.com/","investor relations",{"text":263,"config":264},"Sustainability",{"href":265,"dataGaName":263,"dataGaLocation":44},"/sustainability/",{"text":267,"config":268},"Diversidade, inclusão e pertencimento (DIB)",{"href":269,"dataGaName":270,"dataGaLocation":44},"/diversity-inclusion-belonging/","Diversity, inclusion and belonging",{"text":272,"config":273},"Trust Center",{"href":274,"dataGaName":275,"dataGaLocation":44},"/pt-br/security/","trust center",{"text":277,"config":278},"Boletim informativo",{"href":279,"dataGaName":280,"dataGaLocation":44},"/company/contact/","newsletter",{"text":282,"config":283},"Imprensa",{"href":284,"dataGaName":285,"dataGaLocation":44},"/press/","press",{"text":287,"config":288},"Declaração de Transparência da Lei da Escravidão Moderna",{"href":289,"dataGaName":290,"dataGaLocation":44},"https://handbook.gitlab.com/handbook/legal/modern-slavery-act-transparency-statement/","modern slavery transparency statement",{"title":292,"links":293},"Fale com a gente",[294,299,304,309,314,319,324],{"text":295,"config":296},"Fale com um especialista",{"href":297,"dataGaName":298,"dataGaLocation":44},"/pt-br/sales/","sales",{"text":300,"config":301},"Ajuda",{"href":302,"dataGaName":303,"dataGaLocation":44},"/support/","get help",{"text":305,"config":306},"Portal de clientes",{"href":307,"dataGaName":308,"dataGaLocation":44},"https://customers.gitlab.com/customers/sign_in/","customer portal",{"text":310,"config":311},"Status",{"href":312,"dataGaName":313,"dataGaLocation":44},"https://status.gitlab.com/","status",{"text":315,"config":316},"Termos de uso",{"href":317,"dataGaName":318,"dataGaLocation":44},"/terms/","terms of use",{"text":320,"config":321},"Aviso de Privacidade",{"href":322,"dataGaName":323,"dataGaLocation":44},"/pt-br/privacy/","privacy statement",{"text":325,"config":326},"Preferências de cookies",{"dataGaName":327,"dataGaLocation":44,"id":328,"isOneTrustButton":329},"cookie preferences","ot-sdk-btn",true,{"items":331},[332,334,336],{"text":315,"config":333},{"href":317,"dataGaName":318,"dataGaLocation":44},{"text":320,"config":335},{"href":322,"dataGaName":323,"dataGaLocation":44},{"text":325,"config":337},{"dataGaName":327,"dataGaLocation":44,"id":328,"isOneTrustButton":329},"content:shared:pt-br:main-footer.yml","Main Footer","shared/pt-br/main-footer.yml","shared/pt-br/main-footer",{"_path":343,"_dir":9,"_draft":6,"_partial":6,"_locale":7,"logo":344,"subscribeLink":349,"navItems":353,"_id":365,"_type":29,"title":366,"_source":30,"_file":367,"_stem":368,"_extension":33},"/shared/pt-br/the-source/navigation",{"altText":345,"config":346},"the source logo",{"src":347,"href":348},"https://res.cloudinary.com/about-gitlab-com/image/upload/v1750191004/t7wz1klfb2kxkezksv9t.svg","/pt-br/the-source/",{"text":350,"config":351},"Assinar",{"href":352},"#subscribe",[354,358,361],{"text":355,"config":356},"Inteligência artificial",{"href":357},"/pt-br/the-source/ai/",{"text":97,"config":359},{"href":360},"/pt-br/the-source/security/",{"text":362,"config":363},"Plataforma e infraestrutura",{"href":364},"/pt-br/the-source/platform/","content:shared:pt-br:the-source:navigation.yml","Navigation","shared/pt-br/the-source/navigation.yml","shared/pt-br/the-source/navigation",{"_path":370,"_dir":9,"_draft":6,"_partial":6,"_locale":7,"title":371,"description":372,"submitMessage":373,"formData":374,"_id":378,"_type":29,"_source":30,"_file":379,"_stem":380,"_extension":33},"/shared/pt-br/the-source/newsletter","Boletim informativo The Source","Fique por dentro dos insights para o futuro do desenvolvimento de software.","Você se inscreveu com sucesso no boletim informativo The Source.",{"config":375},{"formId":376,"formName":377,"hideRequiredLabel":329},28471,"thesourcenewsletter","content:shared:pt-br:the-source:newsletter.yml","shared/pt-br/the-source/newsletter.yml","shared/pt-br/the-source/newsletter",{"amanda-rueda":382,"andre-michael-braun":383,"andrew-haschka":384,"ayoub-fandi":385,"brian-wald":386,"bryan-ross":387,"chandler-gibbons":388,"dave-steer":389,"ddesanto":390,"derek-debellis":391,"emilio-salvador":392,"erika-feldman":393,"george-kichukov":394,"gitlab":395,"grant-hickman":396,"haim-snir":397,"iganbaruch":398,"jlongo":399,"joel-krooswyk":400,"josh-lemos":11,"julie-griffin":401,"kristina-weis":402,"lee-faus":403,"ncregan":404,"rschulman":405,"sabrina-farmer":406,"sandra-gittlen":407,"sharon-gaudin":408,"stephen-walters":409,"taylor-mccaslin":410},"Amanda Rueda","Andre Michael Braun","Andrew Haschka","Ayoub Fandi","Brian Wald","Bryan Ross","Chandler Gibbons","Dave Steer","David DeSanto","Derek DeBellis","Emilio Salvador","Erika Feldman","George Kichukov","GitLab","Grant Hickman","Haim Snir","Itzik Gan Baruch","Joseph Longo","Joel Krooswyk","Julie Griffin","Kristina Weis","Lee Faus","Niall Cregan","Robin Schulman","Sabrina Farmer","Sandra Gittlen","Sharon Gaudin","Stephen Walters","Taylor McCaslin",{"allArticles":412,"visibleArticles":457,"showAllBtn":329},[413,437],{"_path":414,"_dir":415,"_draft":6,"_partial":6,"_locale":7,"config":416,"seo":420,"content":424,"type":432,"category":415,"slug":433,"_id":434,"_type":29,"title":421,"_source":30,"_file":435,"_stem":436,"_extension":33,"date":425,"description":422,"timeToRead":426,"heroImage":423,"keyTakeaways":427,"articleBody":431},"/pt-br/the-source/security/key-security-trends-for-cisos-in-2025","security",{"layout":9,"template":417,"articleType":418,"author":27,"featured":6,"gatedAsset":419,"isHighlighted":6,"authorName":11},"TheSourceArticle","Regular","source-lp-ai-guide-for-enterprise-leaders-building-the-right-approach",{"title":421,"description":422,"ogImage":423},"Principais tendências de segurança para CISOs em 2025","Descubra as tendências de segurança para 2025: como a IA cria riscos e oportunidades, transforma o gerenciamento de identidade e fortalece equipes DevOps.","https://res.cloudinary.com/about-gitlab-com/image/upload/v1751464506/hyue0lgqq2lqk3arwnel.jpg",{"title":421,"date":425,"description":422,"timeToRead":426,"heroImage":423,"keyTakeaways":427,"articleBody":431},"2025-02-25","5 min de leitura",[428,429,430],"A adoção da IA traz tanto oportunidades quanto riscos de segurança. As empresas precisam monitorar o uso da IA nos produtos dos fornecedores, se preparar para possíveis interrupções e usar a IA para fortalecer os controles de segurança.","É preciso modernizar o gerenciamento de identidade para lidar com interações complexas entre máquinas, permissões dinâmicas e acesso aos sistemas de IA, o que exige ferramentas de segurança mais flexíveis e adaptáveis.","As ferramentas de IA podem ajudar a suprir a falta de habilidades em segurança no DevOps, automatizando verificações de segurança, sugerindo padrões de código seguro e integrando a segurança em todo o ciclo de vida do desenvolvimento de software.","Em 2025, muitas das suas ferramentas essenciais de segurança incluirão modelos de IA que não poderão ser inspecionados ou totalmente controlados. A diretoria da sua empresa que saber desde já o que você fará para evitar a próxima violação de segurança de grande repercussão. Enquanto isso, seus concorrentes estão usando a IA para automatizar a segurança em uma escala que era impossível há poucos meses. A evolução dos requisitos regulatórios traz uma camada extra de complexidade, pois as novas regras da União Europeia e da Califórnia impactam a forma como você pode usar os sistemas de IA.\n\nO cenário de segurança está mudando rapidamente, mas, com a abordagem certa, você pode transformar esses desafios em oportunidades para fortalecer as defesas e, ao mesmo tempo, se proteger contra novas ameaças cibernéticas. Confira três tendências que dominarão o cenário de segurança empresarial este ano.\n\n## 1. Vulnerabilidades em LLMs proprietários\nMuitos fornecedores agora usam os próprios modelos de linguagem de grande porte (LLMs) em seus produtos, criando novos riscos para a sua empresa. A maioria desses LLMs funciona como caixas-pretas: não é possível entender bem como operam ou quais controles de segurança possuem. Pesquisadores de segurança têm demonstrado a fragilidade dos verificadores de integridade de IA. Há um aumento na superfície de ataque dos próprios modelos e, consequentemente, nos produtos que os utilizam.\n\nComo vários produtos dependem dos poucos LLMs proprietários, quando um deles sofre um ataque, muitos dos seus sistemas podem ser afetados. Essa concentração de riscos é preocupante, pois cada vez mais funções empresariais críticas dependem de ferramentas com IA. Para se proteger, você precisará:\n\n- Identificar quais de seus fornecedores usam LLMs\n- Avaliar os controles de segurança implementados por esses fornecedores\n- Planejar-se para eventuais interrupções caso um serviço baseado em LLM sofra falhas\n- Desenvolver planos de contingência para sistemas críticos que dependem de IA\n\n> Leia mais: [Sete perguntas para fazer ao seu provedor de DevOps para criar uma estratégia de IA que priorize a transparência](https://about.gitlab.com/the-source/ai/building-a-transparency-first-ai-strategy-7-questions-to-ask-your-devops/)\n\n## 2. Desafios no gerenciamento de identidade\nOs sistemas de nuvem e de IA estão mudando a maneira como gerenciamos o acesso aos sistemas que usamos diariamente. Agora, seus sistemas de identidade precisam lidar com:\n\n- Um aumento nas identidades não humanas baseadas em serviços\n- Mais conexões entre máquinas (machine to machine)\n- Mudanças rápidas nas atribuições de acesso\n- Cadeias complexas de permissões entre serviços\n- Sistemas de IA que precisam de diferentes níveis de acesso a dados\n\nAs ferramentas tradicionais de gerenciamento de identidade e acesso não foram projetadas para enfrentar esses desafios. Você precisará de ferramentas de identidade mais flexíveis, que se adaptam rapidamente à medida que suas necessidades mudam. Considere implementar [princípios de Zero Trust e acesso just-in-time](https://about.gitlab.com/the-source/security/field-guide-to-threat-vectors-in-the-software-supply-chain/) para ter maior controle sobre esses ambientes dinâmicos.\n\nAs equipes de segurança também devem desenvolver estratégias e se preparar para a crescente complexidade da IA agêntica, aplicando o mesmo nível de rigor e auditabilidade exigido para os usuários humanos. Com a proliferação dos sistemas de IA, [rastrear e proteger essas identidades não humanas](https://about.gitlab.com/blog/improve-ai-security-in-gitlab-with-composite-identities/) torna-se tão importante quanto gerenciar o acesso de usuários humanos.\n\n## 3. Fazer a segurança funcionar no DevOps\n[Em uma pesquisa recente](https://about.gitlab.com/developer-survey/), 58% dos desenvolvedores afirmaram sentir algum grau de responsabilidade pela segurança das aplicações. No entanto, ainda é difícil encontrar profissionais de DevOps com as habilidades de segurança necessárias. As ferramentas com tecnologia de IA podem ajudar a:\n\n- Verificar o código em busca de vulnerabilidades e ameaças de segurança desde o início da fase de desenvolvimento, antes que causem problemas\n- Sugerir padrões de codificação seguros\n- Configurar automaticamente as permissões de acesso corretas\n- Automatizar tarefas repetitivas ao longo do processo de desenvolvimento\n\nEssas ferramentas podem ajudar sua equipe de segurança a trabalhar com mais eficiência. Elas também permitem que os desenvolvedores identifiquem problemas comuns de segurança antes que o código chegue à produção. Isso resulta em menos situações de emergência para sua equipe e melhores resultados em termos de segurança.\n\nConsidere investir em ferramentas que se integram diretamente aos fluxos de trabalho dos desenvolvedores. Quanto mais fácil for para os desenvolvedores trabalharem com segurança, mais provável será que eles o façam.\n\n## Entre em ação: use a IA para se proteger contra ameaças\nPara ficar à frente dessas mudanças:\n\n1. Mapeie os pontos de contato das ferramentas de IA com seus sistemas e avalie os riscos envolvidos\n1. Atualize sua abordagem ao gerenciamento de identidade para atender às necessidades da nuvem e da IA\n1. Descubra maneiras como a IA pode fortalecer suas práticas de segurança\n1. Mantenha a diretoria da sua empresa informada sobre os novos riscos e regulamentações relacionadas à IA\n1. Estabeleça relações com os principais fornecedores para entender suas medidas de segurança em IA\n1. Capacite sua equipe sobre as oportunidades e os riscos de segurança envolvendo a IA\n\nEmbora a IA traga novos riscos, ela também oferece novas ferramentas para proteger sua empresa. Concentre-se em usar a IA para fortalecer sua postura de segurança, sem perder de vista as novas ameaças. Revisões regulares da postura de segurança de IA ajudarão você a se manter à frente dos riscos emergentes.\n\n## De olho no futuro\nO cenário de segurança continuará evoluindo à medida que a tecnologia de IA avança. Mantenha-se flexível e prepare-se para adaptar sua estratégia de segurança conforme surgem novas ameaças e oportunidades. Construa relacionamentos fortes em toda a sua empresa, especialmente com as equipes jurídica, de desenvolvimento e de operações. Essas parcerias ajudarão você a enfrentar os desafios de segurança com mais eficácia.\n\nLembre-se de que, embora a tecnologia mude, sua missão principal permanece a mesma: proteger os ativos da empresa e garantir a segurança das operações comerciais. Use novas ferramentas e abordagens onde elas fizerem sentido, mas não deixe de lado os princípios de segurança na pressa de adotar a IA.","article","key-security-trends-for-cisos-in-2025","content:pt-br:the-source:security:key-security-trends-for-cisos-in-2025:index.yml","pt-br/the-source/security/key-security-trends-for-cisos-in-2025/index.yml","pt-br/the-source/security/key-security-trends-for-cisos-in-2025/index",{"_path":438,"_dir":415,"_draft":6,"_partial":6,"_locale":7,"config":439,"seo":441,"content":445,"type":432,"category":415,"slug":453,"_id":454,"_type":29,"title":442,"_source":30,"_file":455,"_stem":456,"_extension":33,"date":446,"description":447,"timeToRead":426,"heroImage":444,"keyTakeaways":448,"articleBody":452},"/pt-br/the-source/security/security-its-more-than-culture-addressing-the-root-cause-of-common-security",{"layout":9,"template":417,"articleType":418,"author":27,"featured":329,"gatedAsset":440,"isHighlighted":6,"authorName":11},"application-security-in-the-digital-age",{"title":442,"description":443,"ogImage":444},"Como abordar a causa raiz de problemas de segurança comuns","Problemas de segurança são vistos como questão cultural, mas líderes também devem focar na complexidade da pilha tecnológica e na gestão de vulnerabilidades.","https://res.cloudinary.com/about-gitlab-com/image/upload/v1751464489/mragusmxl1wz8ozdaoml.png",{"title":442,"date":446,"description":447,"timeToRead":426,"heroImage":444,"keyTakeaways":448,"articleBody":452},"2024-10-29","Frequentemente, os problemas de segurança são percebidos como uma questão da cultura empresarial, mas os líderes também devem focar na complexidade da pilha tecnológica e no gerenciamento de vulnerabilidades.",[449,450,451],"A mudança para a análise autenticada na gestão de vulnerabilidades aumenta a eficácia, mas pode desviar os esforços de engenharia para tarefas não essenciais, criando uma divisão entre as equipes de segurança e engenharia.","Uma abordagem minimalista para o desenvolvimento de software pode minimizar dependências, reduzir alarmes falsos gerados pelas análises e diminuir a carga do desenvolvedor, contribuindo para melhorar a segurança do software.","Adotar padrões de design comprovados e seguros baseados em casos de uso replicáveis pode reduzir a carga de trabalho das equipes técnicas e aumentar a segurança.","Este ano, a [pesquisa anual de profissionais de DevSecOps](https://about.gitlab.com/developer-survey/) do GitLab revelou vários problemas relacionados à cultura organizacional que podem estar impedindo um alinhamento mais profundo entre as equipes de engenharia e segurança. A maioria (58%) dos entrevistados do setor de segurança disse que tem dificuldade em fazer a equipe de desenvolvimento priorizar a correção de vulnerabilidades, e 52% relataram que a burocracia muitas vezes retarda seus esforços para corrigir vulnerabilidades rapidamente. Além disso, os entrevistados do setor de segurança apontaram várias frustrações específicas relacionadas ao seu trabalho, incluindo dificuldade em entender as descobertas de segurança, excesso de falsos positivos e testes que acontecem no final do processo de desenvolvimento de software.\n\nO [DevSecOps](/topics/devsecops/) promete uma melhor integração entre engenharia e segurança, mas é claro que as frustrações e as diferenças persistem. Essa questão é um sintoma de um problema maior relacionado com a forma como as empresas percebem a segurança, como as equipes colaboram e quanto tempo dedicam a ela.\n\n## Saindo do ciclo vicioso das vulnerabilidades\n\nA análise de vulnerabilidades identifica todas as possíveis falhas. No entanto, o fato de um pacote de software ter uma vulnerabilidade ou exposição comum (CVE) não significa que ela seja acessível ou explorável. Equipes de segurança e desenvolvedores ainda estão filtrando e analisando vulnerabilidades, que cresceram exponencialmente ao longo dos anos, desde que a análise autenticada de vulnerabilidades se tornou padrão.\n\nA transição para a análise autenticada melhorou a eficácia dos programas de segurança de várias maneiras, mas também colocou os desenvolvedores em um ciclo interminável de consertar elementos irrelevantes. Quando as equipes desperdiçam esforços em  correções que não resolvem uma vulnerabilidade explorável, elas deixam de fazer tarefas mais críticas, como corrigir falhas vulneráveis e exploráveis. Essa é a origem de grande parte da divisão entre as equipes de segurança e engenharia hoje.\n\nEntão, como as empresas podem abordar a causa raiz desses problemas e promover uma melhor integração entre engenharia e segurança? Aqui estão três maneiras de evitar frustrações comuns de segurança desde o princípio.\n\n### 1. Reduza o ruído e foque em sinais de alta precisão e ação prática\n\nO excesso de falsos positivos foi a segunda maior frustração apontada pelos profissionais de segurança na nossa pesquisa. Falsos positivos são claramente um desafio, mas muitas vezes são um problema de gerenciamento de vulnerabilidades disfarçado.\n\nSe uma empresa obtiver muitos falsos positivos, isso pode ser um sinal de que ainda não fizeram tudo o que poderiam para garantir que suas descobertas de segurança sejam de alta precisão. As empresas devem concentrar seus esforços de segurança no que realmente importa. Isso significa que as soluções tradicionais de Teste Estático de Segurança de Aplicações (SAST) provavelmente são insuficientes. O SAST é uma ferramenta poderosa, mas perde muito do seu valor se os resultados não forem gerenciáveis ou não tiverem o contexto apropriado. Para que o SAST seja mais eficaz, ele deve ser usado [de forma integrada com outras ferramentas de segurança e desenvolvimento e estar acessível aos desenvolvedores](https://about.gitlab.com/blog/oxeye-joins-gitlab-to-advance-application-security-capabilities/).\n\nOutro problema é que a maioria das ferramentas de análise tem uma visão muito limitada do contexto ao interpretar as descobertas de vulnerabilidades. Esta é uma das áreas em que a IA pode ajudar usando [recursos com tecnologia de IA que explicam vulnerabilidades de segurança](https://about.gitlab.com/blog/understand-and-resolve-vulnerabilities-with-ai-powered-gitlab-duo/).\n\n### 2. Minimize a pilha de tecnologia, minimize a superfície de ataque\n\nManter o foco no que é importante não se aplica apenas aos testes de segurança: deve começar com a forma como uma empresa cria software.\n\nEmbora a IA prometa ajudar a simplificar os processos de desenvolvimento de software, [nossa pesquisa sugere que muitas empresas ainda têm um longo caminho pela frente](https://about.gitlab.com/blog/3-surprising-findings-from-our-2024-global-devsecops-survey/). Na verdade, os participantes que usam IA demonstraram uma probabilidade significativamente maior, em comparação com aqueles que não usam IA, de querer consolidar sua cadeia de ferramentas. Isso sugere que a proliferação de diferentes soluções pontuais com modelos de IA distintos pode estar aumentando a complexidade, em vez de reduzi-la.\n\nA complexidade cada vez maior das pilhas de tecnologia das empresas é um dos principais fatores que contribuem para os problemas de segurança. Algum nível de complexidade é inevitável ao construir sistemas de software grandes e multifacetados. No entanto, as empresas devem tomar medidas para evitar a complexidade causada por decisões de design inadequadas, como código difícil de manter e dependências redundantes. Essa complexidade desnecessária aumenta a superfície de ataque e gera mais resultados nas análises de segurança, exigindo que as equipes os classifiquem, priorizem e resolvam.\n\nAs empresas devem abordar o desenvolvimento com a perspectiva de minimização de software, ou seja, sendo intencionais em relação às ferramentas que adotam e ao que decidem incluir em seus codebases. Isso ajudará a minimizar as dependências, melhorar a segurança da cadeia de suprimentos de software, reduzir o ruído das análises e diminuir o trabalho dos desenvolvedores na correção de problemas não críticos.\n\n### 3. Normalize os caminhos otimizados\n\nA realização tardia de testes de segurança no ciclo de vida do desenvolvimento de software foi outra das principais frustrações apontadas pelos participantes da nossa pesquisa. As equipes podem se sentir frustradas quando querem lançar algo e o processo é atrasado porque uma vulnerabilidade foi detectada tardiamente. Porém, em muitos casos, pode não ter sido possível detectar essa vulnerabilidade antes. O que é possível, no entanto, é operacionalizar componentes de segurança facilmente implantáveis e reutilizáveis, limitando as variáveis e possíveis vulnerabilidades.\n\nAs equipes podem evitar surpresas em estágios mais avançados adotando [padrões de design testados e comprovados com base em casos de uso replicáveis](https://about.gitlab.com/the-source/platform/how-devops-and-platform-engineering-turbocharge-efficiency/): a abordagem de \"caminhos otimizados\". Um caminho otimizado é uma rota recomendada, que inclui um conjunto de ferramentas, processos e componentes selecionados que as equipes podem seguir para construir aplicações seguras de forma mais eficiente. Por exemplo, usando GitOps para versionar e implantar uma Infraestrutura como Código bem arquitetada e testada, dimensionável para todas as cargas de trabalho.\n\nA adoção de caminhos otimizados pode remover um pouco da flexibilidade, mas, em última análise, reduz o trabalho operacional e o retrabalho das equipes de engenharia e aumenta a segurança. Isso precisa ser um esforço colaborativo entre segurança e desenvolvimento. A segurança pode ajudar a projetar caminhos otimizados, mas a engenharia precisa estar envolvida para operá-los e mantê-los como parte do codebase.\n\n## A segurança é um domínio, não uma equipe{class=\"no-anchor\"}\n\nJá estamos observando a segurança como uma prática sendo incorporada nas equipes de engenharia, e podemos esperar que os limites entre as duas continuem a se tornar mais indefinidos. No entanto, com a rápida adoção da IA e a aceleração correspondente no desenvolvimento de software, 66% dos participantes da nossa pesquisa afirmaram que estão lançando software duas vezes mais rápido ou até mais do que no ano passado. Será fundamental que as empresas estabeleçam sistemas e estruturas que otimizem o máximo benefício em termos de segurança. É por isso que resolver a desconexão cultural entre desenvolvimento e segurança não resolve todo o problema. Promover uma cultura de colaboração é essencial, mas as equipes de segurança e engenharia também devem trabalhar juntas para repensar os aspectos fundamentais do desenvolvimento de software, como otimizar as bases de código atuais e criar soluções focadas na engenharia que possam ser dimensionadas e adotadas de forma transparente por equipes técnicas de toda a empresa.","security-its-more-than-culture-addressing-the-root-cause-of-common-security","content:pt-br:the-source:security:security-its-more-than-culture-addressing-the-root-cause-of-common-security:index.yml","pt-br/the-source/security/security-its-more-than-culture-addressing-the-root-cause-of-common-security/index.yml","pt-br/the-source/security/security-its-more-than-culture-addressing-the-root-cause-of-common-security/index",[413,437],{"ai":355,"platform":362,"security":97},1753475530942]