A importância de métricas em Segurança de Aplicações | Blogpost | AppSec to Go

Certa vez o escritor Peter Drucker disse: “Aquilo que não é medido, não é melhorado”. Ele tem razão – o que não conseguimos entender, não conseguimos melhorar ou mesmo saber se está ou não funcionando. Quando aplicamos este mesmo pensamento aos processos de desenvolvimento seguro, percebemos que poucas empresas entendem realmente o que está se passando em seu processo. Quando muito, elas têm uma noção do número de vulnerabilidades em seus códigos, mas isso é o sintoma, e não a causa. Então, é inevitável que dentro de todo este cenário não nos depararmos com a pergunta: “Então, como medir as coisas em um processo de desenvolvimento seguro?” Neste artigo, vamos tentar colocar alguns pontos que entendemos que podem ser de grande importância para nos mostrar possíveis causas para nossos pontos de falha dentro do processo. No entanto, este artigo não tem como pretensão se tornar uma lista dos pontos que devem ser usados –  queremos apenas iniciar uma discussão, mostrar que precisamos falar sobre esse tema.