# Um pequeno papo sobre segurança de aplicações

Passamos por diversas transformações na forma como desenvolvemos nossas aplicações. Essas mudanças têm gradualmente alterado nosso paradigma sobre o que é essencial na construção de um software, o que nos levou a reconhecer a necessidade de incorporar a segurança nessa discussão.

No entanto, ao refletir sobre isso, surge a pergunta: qual seria a estratégia mais eficaz para integrar a segurança ao nosso ciclo de desenvolvimento? Muitas empresas optam por adotar uma abordagem defensiva com seu time Blue Team¹, implementando uma série de ferramentas de monitoramento na esperança de que sejam suficientes para evitar que invasores comprometam suas informações. Por outro lado, há aquelas que recorrem a equipes de segurança ofensiva, como o Red Team², para realizar testes abrangentes em suas aplicações e validar os controles estabelecidos pelo Blue Team. Mas será que essa é realmente a melhor estratégia?

Essas validações desempenham um papel crucial no ciclo de desenvolvimento. No entanto, como ilustrado abaixo, o Blue Team geralmente tem suas funções restritas às etapas finais, enquanto o Red Team atua principalmente como validador para a implantação das aplicações³.

<figure><img src="/files/Bowt8RCGhwgYIfaWu4fB" alt=""><figcaption></figcaption></figure>

Sendo essa uma pequena parte. Como podemos extender a segurança como um todo dentro do processo de segurança?

A resposta para essa pergunta não é simples, mas felizmente existem ferramentas que podem nos auxiliar nesse processo. Uma delas é o [OWASP SAMM](https://owaspsamm.org/), desenvolvido e mantido pela OWASP como um de seus projetos. Neste contexto, pretendo utilizar esse framework nos próximos artigos, demonstrando como podemos usá-lo como um guia para consolidar os processos de segurança em todo o ciclo de desenvolvimento.

¹ O termo “Blue Team” é frequentemente utilizado como um termo genérico e pode abranger diferentes equipes de segurança, como a equipe de segurança de infraestrutura, de nuvem, de resposta a incidentes, entre outras.

² Por sua vez, o “Red Team” geralmente se refere à equipe responsável por testar os produtos por meio de testes de penetração, mas seu escopo de atuação não se limita apenas a isso. Eles também realizam uma variedade de atividades, como validar proteções implementadas por outras equipes, conduzir campanhas de phishing e outras atividades relacionadas à segurança ofensiva.

³ É importante ressaltar que o ciclo de implementação e as funções das equipes podem variar dependendo da estrutura organizacional da corporação.


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://dandga.gitbook.io/seguranca-de-aplicacao/um-pequeno-papo-sobre-seguranca-de-aplicacoes.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.