Over 10 years we help companies reach their financial and branding goals. Engitech is a values-driven technology agency dedicated.

Gallery

Contacts

411 University St, Seattle, USA

engitech@oceanthemes.net

+1 -800-456-478-23

Twitter Facebook-f Pinterest-p Instagram
Automação Cibersegurança segurança de aplicações

Caso de Sucesso: Segurança de Aplicações no DevSecOps

por Thiago Fernandes

Como integrar segurança às pipelines e reduzir riscos antes da produção

Durante o Security Leaders 2026, um dos principais eventos de cibersegurança do país, a Athena Soluções Inteligentes apresentou um caso prático de como grandes organizações podem estruturar segurança de aplicações de forma contínua dentro do ciclo de desenvolvimento, utilizando a plataforma HCL AppScan on Cloud (ASoC) integrada às pipelines de CI/CD.

A apresentação abordou um cenário real enfrentado por grandes organizações: ambientes de desenvolvimento distribuídos, com múltiplas equipes e fornecedores trabalhando simultaneamente em APIs, webservices e aplicações corporativas.

Nesse contexto, garantir a segurança do código apenas nas etapas finais do desenvolvimento já não é suficiente.

A solução passa pela integração de segurança diretamente nas pipelines de desenvolvimento, transformando a segurança em um mecanismo preventivo e contínuo.

O desafio: desenvolvimento distribuído e aumento da superfície de ataque

Empresas que operam em ambientes complexos, com múltiplas squads e fornecedores, enfrentam desafios significativos na governança de segurança de aplicações.

Entre os principais riscos identificados estão:

  • Vulnerabilidades críticas introduzidas no código sem detecção precoce;
  • Falta de padronização de práticas de AppSec entre equipes;
  • Dificuldade em consolidar indicadores de risco para CISOs e executivos;
  • Exposição à não conformidade com normas como ISO 27001, OWASP e PCI-DSS.

Sem automação e integração com o processo de desenvolvimento, a segurança tende a atuar de forma reativa, atuando apenas após a entrega do software.

A abordagem DevSecOps: segurança integrada à pipeline

Durante a apresentação, foi demonstrado como a integração do HCL AppScan on Cloud com pipelines de CI/CD permite inserir controles de segurança diretamente no fluxo de desenvolvimento.

Nesse modelo, o processo funciona da seguinte forma:

  1. O desenvolvedor realiza um commit ou abre um Merge Request.
  2. O pipeline CI/CD inicia automaticamente.
  3. Um job de segurança executa SAST e SCA utilizando o agente do AppScan.
  4. Os resultados são enviados ao AppScan on Cloud para análise aprofundada.
  5. As políticas de segurança são avaliadas automaticamente.
  6. Caso vulnerabilidades críticas sejam detectadas, o merge é bloqueado automaticamente.

Esse modelo cria um verdadeiro Quality Gate de segurança, impedindo que vulnerabilidades graves avancem para produção.

Exemplo prático: detecção automática de SQL Injection

Um dos cenários apresentados na palestra demonstrou a detecção de uma vulnerabilidade clássica de SQL Injection durante o processo de pipeline.

Nesse caso:

  • o código continha uma concatenação direta em uma consulta SQL;
  • o scan SAST identificou a vulnerabilidade automaticamente;
  • o pipeline falhou com base na política definida;
  • o desenvolvedor recebeu feedback imediato com o local exato do problema no código.

Esse mecanismo permite que a correção ocorra ainda na fase de desenvolvimento, reduzindo significativamente o custo de remediação.

A plataforma: AppScan on Cloud como hub de AppSec

A solução apresentada utiliza o HCL AppScan on Cloud, uma plataforma unificada de segurança de aplicações que combina diferentes tipos de análise:

  • SAST (Static Application Security Testing) – análise de código fonte
  • DAST (Dynamic Application Security Testing) – testes de aplicações em execução
  • IAST (Interactive Application Security Testing) – análise em runtime
  • SCA (Software Composition Analysis) – identificação de vulnerabilidades em bibliotecas open source
  • SBOM – inventário de componentes de software

Essa abordagem permite que as organizações tenham visibilidade centralizada do risco de segurança em aplicações, com dashboards executivos e relatórios de conformidade.

Benefícios observados

A implementação desse modelo de segurança integrada trouxe ganhos significativos para o ambiente de desenvolvimento analisado.

Entre os principais resultados observados:

  • redução de até 75% nas vulnerabilidades em produção
  • redução de aproximadamente 60% no tempo médio de correção (MTTR)
  • feedback imediato para desenvolvedores durante o processo de desenvolvimento
  • maior aderência a frameworks e normas de segurança

Além disso, a utilização de recursos de inteligência como Intelligent Finding Analytics (IFA) ajuda a reduzir falsos positivos e priorizar vulnerabilidades realmente exploráveis.

Segurança como habilitadora do desenvolvimento

Um dos principais pontos destacados durante a apresentação no Security Leaders foi que segurança não deve atuar como um bloqueio ao desenvolvimento, mas sim como um mecanismo de melhoria contínua.

Quando bem integrada aos processos de DevOps, a segurança passa a:

  • reduzir riscos antes do deploy
  • acelerar a correção de vulnerabilidades
  • fornecer indicadores claros para gestão executiva
  • aumentar a maturidade de segurança da organização

Em vez de atuar apenas na detecção tardia de problemas, a segurança passa a operar de forma preventiva e automatizada.

Segurança como habilitadora do desenvolvimento

A experiência apresentada no Security Leaders 2026 demonstra que a segurança de aplicações não depende apenas de ferramentas, mas da forma como essas ferramentas são integradas ao processo de desenvolvimento.

A combinação de DevSecOps, automação e governança de segurança permitem que organizações escalem seu desenvolvimento de software sem abrir mão da proteção de seus ativos digitais.

Para empresas que operam com múltiplas equipes e ambientes distribuídos, essa abordagem representa um caminho viável para transformar a segurança de aplicações em um processo contínuo, mensurável e alinhado ao negócio.