Appsec x Product Security
Sabe quais são as diferenças e semelhanças entre o Appsec, DevSecOps e o Product Security?!
Provavelmente, os dois primeiros termos já estejam mais comuns e difundidos, onde este profissional atua com a responsabilidade de garantir uma esteira de desenvolvimento segura, no conceito de shift left, com um escopo muito grande voltado para o código, o processo de deploy, testes automatizados de segurança, threat modeling e em alguns lugares até mesmo pentests em features ou um escopo mais reduzido de produto.
Já o Product Security, além de todo esse escopo de atuação, tem uma preocupação maior com o Produto que ele atende, não se restringindo ao código e à esteira de desenvolvimento, sendo também responsável por todos os aspectos pertencentes ao seu produto, uma mudança sútil mas que na prática se mostra bem grande, pois o profissional neste papel, acaba se preocupando também com a segurança da infra, utilizada pelo produto, apoiando os demais membros do time, com definições de arquitetura, melhores práticas de segurança em banco, observabilidade, entendendo e articulando com outros times, se seu produto atende todos os regulatórios ou está adequado às regras e leis que a organização dispõe e é submetida, se preocupa com os aspectos de Monitoramento de segurança, apoiando ou trazendo insumos aos times de Soc/Blue Team e demais times que fazem parte de todo o arcabouço de segurança corporativa.
Enfim, percebemos que este papel, acaba se tornando mais abrangente e trazendo ainda mais responsabilidade para o profissional, além de torná-lo um articulador de segurança entre seus times de Engenharia, produtos e todos os demais times da Cia, para garantir da melhor maneira possível a confiabilidade e segurança do Produto; saindo da visão de código e SDLC, passando para olhar o Produto de forma geral, uma pequena mudança semântica mas que na prática se mostra de grande valia, tendo pessoas mais engajadas e especialistas em seus nichos, alcançando uma sinergia maior entre todas os times da corporação, para que no fim do dia a empresa possa entregar aos seus clientes, produtos melhores e mais confiáveis.
Obrigado pela leitura e até a próxima!
Referências:
