Adam Sandman, CEO e fundador da Inflectra discute as tendências em engenharia de qualidade de software e segurança cibernética para 2023. Sandman explica por que engenharia de qualidade, DevOps e segurança não serão mais vistos como disciplinas separadas, mas como parte de um todo maior. Por fim, ele abordará como o gerenciamento de riscos é fundamental para enfrentar esse novo conjunto integrado de desafios de frente.
O software tornou-se um bem essencial
De muitas maneiras, 2022 pode ser considerado um divisor de águas; à medida que a pandemia global diminuiu, pela primeira vez, podemos ver quais mudanças foram temporais e quais se tornaram estruturais. Da mesma forma, as mudanças na cadeia de suprimentos global (e na própria globalização) e como a tecnologia da informação se incorporou em nossas vidas diárias estão aqui. No entanto, ao mesmo tempo, os riscos de falhas em sistemas críticos, sejam ataques cibernéticos ou bugs de software “antiquados”, só aumentaram.
Os últimos exemplos de risco incluem vários colapsos de TI de companhias aéreas nos últimos 18 meses que prejudicaram as viagens ao redor do mundo, bancos que realizaram migrações de dados de maneira tão descuidada que as contas dos clientes ficaram inacessíveis ou acessíveis a não titulares de contas e interrupções de infraestrutura que derrubaram grandes plataformas de nuvem ou sistemas globais de gerenciamento de projetos.
Medos de recessão podem nos levar a baixar nossas defesas
A invasão da Ucrânia em fevereiro deste ano foi apenas a última salva no que se tornou uma clara transição de uma economia mundial globalizada para uma multipolar onde o comércio e a propriedade intelectual são os novos campos de batalha. No entanto, apesar das previsões iniciais, não houve ataques cibernéticos generalizados e em larga escala à infraestrutura nacional. O risco é que empresas e organizações aprendam a lição errada com isso e, com a aproximação de uma recessão global, cortem custos em segurança cibernética e qualidade de software precisamente no momento errado.
Se olharmos para esse reflexo em um espelho, o oposto é verdadeiro. A pandemia nos mostrou como os sistemas de TI permitiram que cidades e sociedades funcionassem de forma remota e resiliente. Da mesma forma, a guerra na Ucrânia nos mostrou como as telecomunicações, sistemas embarcados modernos, como drones e munições inteligentes, e soluções de ‘baixo custo’, mas de alta tecnologia, podem mudar a sorte de um conflito. A lição é que a TI e a segurança desses sistemas (civis ou militares) são mais críticos do que nunca.
Segurança e qualidade andam de mãos dadas
Isso me leva à próxima grande tendência em 2023, a ascensão da qualidade como uma disciplina abrangente. Anteriormente, em qualquer organização, as equipes responsáveis pela garantia de qualidade (QA) eram separadas dos grupos responsáveis pelo desenvolvimento e pelos responsáveis pela Segurança da Informação (InfoSec). O hack na SolarWinds mostrou a vulnerabilidade da cadeia de suprimentos de software, e as várias falhas menores em componentes críticos nos anos anteriores (por exemplo, heartbleed e OpenSSL) demonstraram que a qualidade dos sistemas de software precisa ser um processo holístico e não pode ser separado da segurança. À medida que os reguladores do setor intensificam a aplicação de violações de dados e falhas significativas de TI (apoiadas por pesadas multas), a era de “agir rápido e quebrar as coisas” será substituída por uma de “agir com cuidado e verificar tudo”.
Na Inflectra, muitos de nossos clientes trabalham em setores altamente regulamentados, como ciências da vida, aeroespacial, manufatura, finanças e automotivo. Nessas indústrias, você não pode simplesmente criar histórias de usuários, escrever software, colocá-lo em produção, obter feedback do usuário e girar até que algo funcione. Em vez disso, você deve planejar e pensar na qualidade desde o início. Uma tendência importante em 2023 será que as empresas otimizem e simplifiquem seus processos de qualidade e mentalidade para tornar essas tarefas de conformidade tão ágeis quanto o próprio trabalho de desenvolvimento. A conformidade ágil tem sido um ingrediente-chave ausente, e as empresas que conseguirem dominá-la superarão seus pares em 2023.
Protegendo seu pipeline de DevOps
Outro motivo para garantir a qualidade em seu processo ágil de desenvolvimento de software e cadeias de ferramentas DevOps é que os pipelines DevOps se tornaram uma superfície de ataque cada vez mais popular para ataques cibernéticos. Como as empresas gastaram tempo bloqueando e protegendo seus sistemas e redes de produção, o mesmo não pode ser dito em muitos casos para seus ambientes e redes de desenvolvimento.
Por exemplo, a gigante australiana de telecomunicações Optus revelou que cerca de 10 milhões de clientes, cerca de 40% da população, tiveram seus dados pessoais roubados quando uma API de teste interna usada em desenvolvimento foi conectada a dados de produção sem nenhum mecanismo de autenticação. Outro exemplo foi quando o LastPass sofreu uma violação de segurança visando seu ambiente de desenvolvimento que resultou no roubo de parte de seu código-fonte e informações técnicas.
Com o aumento da ameaça aos ambientes de desenvolvimento e teste, é fundamental que as organizações adotem muitas das mesmas medidas de segurança e qualidade em uso em seus ambientes de produção. Usar defesa em profundidade, criptografia, gerenciamento centralizado seguro de senhas e chaves de API e, idealmente, mudar para uma infraestrutura de nuvem completamente “sem senha” se tornarão tópicos críticos para 2023.
De acordo com as abordagens clássicas de gerenciamento de riscos, é essencial planejar maneiras de reduzir o impacto e/ou a probabilidade de comprometimento de uma credencial. Uma recomendação importante para 2023 é implantar um provedor de identidade de logon único (SSO) que use uma tecnologia como OAuth 2.0/OpenID Connect e permita o login biométrico como fator principal. Em seguida, use esse provedor para acessar todos os outros serviços em vez de ter senhas ou chaves de API para cada serviço.
A gestão de riscos não é mais opcional
Expandindo a criticidade do gerenciamento de riscos como uma disciplina abrangente, uma das principais tendências de 2023 será a integração do gerenciamento de riscos e técnicas baseadas em riscos, como testes baseados em riscos. Anteriormente um ramo obscuro do gerenciamento de projetos, o gerenciamento de riscos agora está na frente e no centro do painel da maioria dos CIOs e CISOs.
Os próximos anos verão uma mudança nas habilidades de gerenciamento de projetos de ordem superior necessárias, abrangendo qualidade, risco e comunicação. Especificamente, haverá um crescimento considerável no gerenciamento de riscos além do gerenciamento de produtos de software. Conforme mencionado no início deste artigo, software e firmware estão se tornando comuns. Quer se trate de aplicativos em nossos telefones ou dispositivos vestíveis, o desenvolvimento de produtos de software não está mais limitado aos riscos do próprio software.
A análise do ambiente em que o software funciona está se tornando tão comum que os regulamentos são constantemente revisados. Por exemplo, a Análise de Modo e Efeitos de Falha (FMEA) está se expandindo para a ISO14971, as Boas Práticas de Manufatura Automatizadas (GAMP) são cada vez mais parte do desenvolvimento de produtos clínicos e pós-clínicos em ciências da vida e a Análise de Perigos e Pontos Críticos de Controle (HACCP) cobrindo restaurantes e produtos alimentícios, e assim por diante. Como resultado, todos os setores estão começando a esperar que os proprietários de produtos e gerentes de TI se tornem especialistas em gerenciamento de riscos para seus setores. Deixar de planejar esse futuro colocará toda a sua organização em risco inaceitável.
Adam Sandman
Adam Sandman, que fundou a Inflectra em 2006, é programador desde os 10 anos. Hoje, Adam atua como CEO da empresa. Ele é responsável pela estratégia de produtos, inovação tecnológica e desenvolvimento de negócios. Ele mora em Washington, DC, com sua família.
Antes de fundar a Inflectra, Sandman trabalhou como diretor da Sapient Government Services, onde era responsável pelo desenvolvimento do Corpo de Fuzileiros Navais dos EUA e de outras agências governamentais e era responsável por liderar muitas equipes de captura e redigir whitepapers e declarações de posição para construir a reputação da Sapient como um líder no espaço de defesa. Ele estudou física na Universidade de Oxford.
A Inflectra oferece um conjunto de soluções corporativas intuitivas e prontas para uso para gerenciar todo o ciclo de vida do software. Seus produtos líderes do setor para gerenciamento de teste de aplicativos, automação de teste e gerenciamento do ciclo de vida ajudam os clientes a simplificar suas operações, permitindo que desenvolvedores, testadores e gerentes aloquem seu tempo e recursos para atribuições críticas de negócios. Entre nossos produtos mais populares estão o SpiraPlan, que permite sincronizar o que importa com o desenvolvimento ágil de programas, e o Rapise, que fornece automação de teste rápida e fácil para tudo, web, dispositivos móveis, desktop e APIs.
Torne-se um assinante da App Developer Magazine por apenas US$ 5,99 por mês e aproveite todas essas vantagens.