Gestão inadequada de segurança e conformidade, levando a riscos comerciais

[joaonetozup]

The Pain

Dificuldades para garantir a segurança e a conformidade do código, além de gerenciar credenciais e informações sensíveis de forma segura.

Summary

A falta de mecanismos eficazes no InnerLoop para a análise de segurança deixam os developers suscetíveis a falhas e vulnerabilidades não detectadas, o que compromete a integridade e a conformidade do código com os padrões de segurança. Já no OuterLoop, ferramentas SAST como o VeraCode são utilizadas em esteiras para detecção de problemas de segurança, gastando em média "x" horas adicionais no tempo médio da esteira, retornando os problemas para que aí sim os Devs possam fazer o fix desses problemas - o que também gera impacto de x% no tempo para uma mudança chegar em produção, além dos custos da plataforma que giram em torno de R$xxxx. Simultaneamente, a ausência de um sistema seguro e integrado para a gestão de credenciais pode levar à exposição acidental de secrets sensíveis e aumentar o risco de ataques e acessos não autorizados. Isso cria um ambiente onde a proteção do código e a segurança das informações confidenciais são constantemente ameaçadas, tornando mais difícil para os usuários manterem a segurança e a conformidade necessárias.

Goal

• Implementar mecanismos que ajudem os desenvolvedores a identificar e corrigir problemas presentes nos códigos no Inner e Outer Loop, a fim de melhorar a qualidade e segurança de suas entregas, assim como diminuir o tempo para mudanças chegarem em produção.
• Fortalecer a segurança geral da plataforma, aumentar a conformidade com os padrões de segurança e LGPD e proteger informações confidenciais e sensíveis.

Possible Features

• 144

• 141

• 201

Metrics

• Pipeline time reduction: Redução de tempo de esteiras.
• Vulnerability Detection Rate: Percentual de vulnerabilidades identificadas antes de produção através dos comandos de segurança.
• Incident Reduction: Redução no número de incidentes de segurança relacionados a códigos ou gestão de credenciais.
• Code Churn: Medir a quantidade de alterações no código relacionadas à correção de problemas de segurança identificados.
• Anonymous mode usage: Percentual de usuários que utilizaram o Modo Anônimo.

Frequency

Alta: Todos os pipelines para que um código entre em produção no Itaú hoje passam por ferramentas de segurança como o VeraCode, que hoje afetam em "x" horas o tempo da esteira. Além disso, o Itaú hoje sofre com x% de vulnerabilidades detectadas após mudanças já estarem em produção. Temos cerca de x% do tempo para uma mudança chegar em produção afetado, impactando frequentemente mudanças de chegarem em produção.

Coverage

Alta: Afeta todos os desenvolvedores e equipes de segurança do Itaú, bem como os administradores de dados responsáveis pela conformidade com as regulamentações de privacidade.

[cadupereira-zup]

@joaonetozup o problema parece melhor escopado mas ainda sinto falta de evidências claras em um local observável. Todas as dores citam desenvolvedores, empresas de forma genérica. Não consigo pegar o problema e validá-lo em um cenário real.

[joaonetozup]

Apenas lembrando e deixando claro que fizemos mudanças nas issues após os feedbacks do Cadu/Ed! Então a issue aqui já tá com ajustes após conversas e comentários!