Como ampliar a segurança para desenvolvedores com testes dinâmicos com foco no desenvolvedor

Hoje, anunciamos a empolgante notícia de que a Snyk adquiriu a Probely, uma fornecedora moderna em rápido crescimento que oferece soluções de testes de segurança de APIs e testes dinâmicos de segurança de aplicativos (DAST). Com essa adição, a Snyk passa a oferecer uma grande variedade de soluções de desenvolvimento e segurança de aplicativos. Os clientes obtêm benefícios imediatos de uma maior diversidade de técnicas de teste de fácil utilização pelos desenvolvedores. 

A crescente importância atribuída por todos os tipos e tamanhos de empresas aos aplicativos web solidifica ainda mais os testes de APIs e o “DAST moderno” como aspectos fundamentais de um programa de segurança de aplicativos. Essa importância é reforçada pela “economia de APIs” e pela era da GenAI. A necessidade de proteger as APIs expostas como parte da funcionalidade dos grandes modelos de linguagem (LLMs) continuará impulsionando a crescente demanda por testes de APIs e aplicativos web. 

Uma expansão natural do portfólio da Snyk… Continuidade da priorização de desenvolvedores

Como líderes estabelecidos em segurança de aplicativos, pode não ser uma surpresa que a Snyk tenha decidido entrar nos mercados de testes de segurança de APIs e DAST. No entanto, informo a vocês que esse passo foi amplamente debatido dentro da Snyk e, em diversas ocasiões, considerado inadequado para nós. Por muito tempo, as soluções de testes dinâmicos de aplicativos/APIs costumavam ficar “mais à direita”, enquanto a filosofia da Snyk foi sempre facilitar uma mentalidade e um modelo de “antecipação da segurança” (mais à esquerda). Nosso compromisso com a segurança para desenvolvedores criou essa mentalidade de antecipar os controles dentro do SDLC para garantir uma abordagem com foco no desenvolvedor que minimiza interrupções no estado do fluxo dos desenvolvedores. Por meio de parcerias e integrações com fornecedores de soluções de DAST, apoiamos clientes que acertadamente queriam incluir essa categoria de testes em seus programas de AppSec, mas geralmente percebíamos um desalinhamento com nossa missão e DNA.

Bem, algumas coisas mudaram esse ponto de vista. Primeiro, surgiu uma nova categoria de soluções modernas de DAST. Integradas a pipelines de CI/CD pela CLI, essas soluções conseguiam antecipar os testes no processo de desenvolvimento. O segundo fator é nosso próprio ponto de vista sobre como o DAST se relaciona com a segurança para desenvolvedores. Historicamente, não considerávamos o DAST como parte dessa abordagem porque era visto predominantemente como uma ferramenta de “adiamento da segurança”, não alinhada com o requisito de foco no desenvolvedor. No entanto, nos últimos anos, dentro da segurança para desenvolvedores, enfatizamos a colaboração entre desenvolvedores e equipes de segurança. Nessa perspectiva, uma ferramenta de teste de segurança dinâmica que cumpre os requisitos de foco no desenvolvedor tem um claro alinhamento com a nossa missão.

Outro fator importante para ingressar nesses mercados e priorizar a Probely como alvo de aquisição foi a já mencionada tendência de usar APIs como impulso para novos aplicativos baseados em LLMs criados na era da GenAI.  Com a crescente sofisticação dos modelos de IA e seu uso cada vez mais frequente nos aplicativos pelos desenvolvedores, aumenta a dependência das APIs para o acesso e processamento de dados. Essa interconectividade cria novos vetores de ataque para malfeitores, tornando crucial proteger as APIs contra possíveis ameaças.  Com a inclusão de testes de segurança de APIs ao nosso portfólio, podemos ajudar melhor os clientes a detectar ameaças em LLMs e proteger modelos e dados, além de permitir que criem aplicativos baseados em IA com maior confiança.

Agora, esses fatores combinados integram o teste dinâmico de APIs e aplicativos web de forma mais plena ao modelo de segurança para desenvolvedores, ajudando a técnica a superar alguns desafios anteriores de adoção, desde que a tecnologia certa seja utilizada.

DAST com foco real no desenvolvedor

Conhecemos a equipe da Probely e analisamos sua tecnologia durante a nossa busca por uma solução própria de testes dinâmicos de APIs e aplicativos para a equipe de segurança de produto. Como parte da nossa preparação para obtermos a autorização FedRAMP, queríamos ir além do uso interno da Snyk, que eliminava problemas de segurança de aplicativos antes da implantação, para atender às necessidades específicas de auditores que precisavam de testes dinâmicos. Estávamos avaliando ferramentas DAST legadas, mas também decidimos testar a Probely. Ficamos imediatamente impressionados com a precisão dos resultados dos testes, com a facilidade de uso da ferramenta e com a significativa redução do ruído de falsos positivos que seriam tratados pela nossa equipe de ProdSec. 

Conhecemos a equipe durante o processo e, além desses resultados, ficou claro que as filosofias que orientaram o roteiro de inovação da empresa resultaram em um fornecedor de testes dinâmicos de API/web com foco real no desenvolvedor. 

Reconhecendo que uma solução com baixa adoção agregaria muito menos valor, a equipe da Probely se empenhou desde o início em garantir que sua tecnologia minimizasse o impacto e a distração dos desenvolvedores. A Probely consegue isso devido a três fatores fundamentais… primeiro, oferecendo a menor taxa de falsos positivos do setor (cerca de 0,1%) para garantir que os desenvolvedores sejam notificados apenas dos problemas que representam um risco real de segurança do aplicativo. Em segundo lugar, a Probely oferece uma implementação e experiência de usuário muito simples, reduzindo a carga cognitiva do aprendizado de novas ferramentas ou da transição para testes dinâmicos para desenvolvedores. Por fim, a Probely segue um modelo de desenvolvimento voltado a APIs, seguido pela ativação de recursos na CLI para permitir a verificação automatizada de DAST em pipelines de CI/CD. Além disso, a empresa criou uma API bastante robusta que simplifica as integrações com várias ferramentas de desenvolvedor, incluindo soluções de rastreamento de problemas, para estreitar ainda mais a conexão com os fluxos de trabalho existentes dos desenvolvedores.

Como parte de nosso processo de diligence, utilizamos nosso parceiro de projetos confiável, clientes e algumas das maiores instituições financeiras e varejistas do mundo. Passamos um tempo com clientes conjuntos da Snyk/Probely e, em todas essas conversas sobre a Probely e suas funcionalidades, percebemos que havíamos alcançado um ponto de equilíbrio ideal entre a capacidade de segurança de aplicativos necessária, oferecida com simplicidade e maturidade empresarial, e nossa mentalidade de foco no desenvolvedor, de que tanto nos orgulhamos.

Naturalmente, quando adquire uma empresa de tecnologia, você absorve mais do que apenas tecnologia. A tecnologia da Probely nos entusiasmou com seu valor atual e seu potencial para o futuro, mas fomos igualmente conquistados pela equipe da Probely e estamos encantados em continuar contando com ela dentro da família Snyk. Vale lembrar que, como desenvolvedores, os dois fundadores da Probely eram profissionais e usuários de ferramentas de segurança e foi essa experiência que os levou a criar uma solução de testes dinâmicos com foco no desenvolvedor. Eles entendem que a segurança de aplicativos é um “esporte de equipe” que envolve desenvolvedores e segurança e criaram seu produto priorizando o que gostariam de usar na administração de equipes de segurança. 

Próximo passo rumo ao gerenciamento de risco de aplicativos

Outra consideração importante na avaliação da oportunidade de mercado de DAST e APIs foi a adequação ao nosso foco na missão e no crescimento no longo prazo. Com base em conversas com clientes, fica claro que, assim como no SAST/SCA, os problemas encontrados no DAST acabam sendo resolvidos pelos desenvolvedores e gerenciados pelas equipes de segurança por meio de políticas e, cada vez mais, por uma abordagem baseada em risco. Além disso, a segurança de APIs está diretamente relacionada à segurança de aplicativos. Diante desses fatores, é difícil afirmar que estamos cumprindo nossa missão de “permitir que as organizações desenvolvam com rapidez e permaneçam seguras” sem oferecer visibilidade e cobertura nessas áreas de crescente importância. 

Como você provavelmente já sabe, lançamos no ano passado o Snyk AppRisk como base para promover a priorização específica de aplicativos e baseada em risco. Observamos uma resposta fantástica a essa nova oferta e sua funcionalidade de oferecer visibilidade consolidada dos ativos e da cobertura de segurança em todo o portfólio de aplicativos. As funcionalidades de descoberta e cobertura da Probely se alinham perfeitamente a esse avanço, já que a AppSec busca visibilidade dos ativos de aplicativos relevantes para o domínio de DAST, incluindo aplicativos de página única, APIs e domínios da web. A AppSec quer saber quais ativos existem e avaliar e monitorar o risco presente nas versões de produção desses ativos, da mesma forma que faz durante a pré-implantação usando SAST e SCA.

Essa aquisição também ampliou o nosso portfólio, incluindo o gerenciamento de superfícies de ataque externas (EASM). ​Todos sabemos que é fundamental para um programa de AppSec compreender claramente como é a superfície de ataque, mas isso é mais fácil falar do que fazer. Com a introdução da descoberta no início deste ano, a Probely pode ajudar as organizações a encontrar, gerenciar e priorizar seu inventário de APIs e aplicativos web para revelar toda a superfície de ataque externa. Para fazer isso, a descoberta é realizada de forma automática e não intrusiva em serviços e aplicativos em execução na infraestrutura do cliente.  

Dada a abrangência e o foco nos pontos problemáticos do crescimento, percebemos um potencial de valor agregado enorme para os clientes enquanto trabalhamos na integração progressiva da tecnologia da Probely na Plataforma Snyk e assimilamos seu foco na entrega da melhor priorização do setor e na habilitação de um gerenciamento abrangente de riscos de aplicativos. 

Snyk + Probely = Valor imediato e continuidade da jornada

Hoje é o dia 1 da integração desse novo conjunto de recursos ao nosso portfólio e estamos entusiasmados para começar a compartilhar nossos planos com você. Notamos atualmente uma grande sinergia que cresce ainda mais ao longo do tempo. Queremos compartilhar esses planos e explorar como a incorporação do DAST a uma jornada com a Snyk agrega valor e impacto imediatos aos programas de AppSec.

Se quiser saber mais sobre essa nova etapa incrível da Snyk, recomendo que se inscreva em nosso próximo webinar no dia 09 de dezembro, às 11h30 (horário da Costa Leste), que terei o prazer de apresentar ao lado de Nuno Loureiro, ex-CEO da Probely. Vamos discutir a opinião dos clientes sobre a crescente importância dos testes de segurança de APIs, o que significa criar um DAST "moderno" e "com foco real no desenvolvedor", e abordar o alinhamento entre os crescentes desafios da segurança de aplicativos web/APIs e as possibilidades da priorização baseada em risco.