Segurança no desenvolvimento de software na Atlassian


Como a Segurança se encaixa no ciclo de vida de desenvolvimento de software da Atlassian?

Em geral, os processos ágeis não têm fases de SDLC distintas, e isso inibe a superposição de abordagens tradicionais mais antigas para liberar versões através de pontos de verificação de segurança.

Ao mesmo tempo, os fluxos de trabalho ágeis permitem a correção rápida das vulnerabilidades, em especial nos serviços em nuvem. Temos uma política interna rígida de prazos para corrigir quaisquer problemas de segurança encontrados.

Quais revisões de segurança são realizadas antes do lançamento do novo código?

Não realizamos nenhuma revisão de estilo "gate", mas fazemos avaliações contínuas da segurança de todos os nossos produtos.

Os desenvolvedores realizam análises regulares de código, antes e depois da confirmação em alguns casos, embora essas análises não sejam direcionadas só à segurança. A equipe de Segurança da Atlassian realiza análises regulares de código direcionadas, manuais e assistidas por ferramentas. De tempos em tempos, contratamos auditores externos para fazer análises de código de segurança de amplo escopo para todos os nossos produtos.

Também mantemos um compromisso de teste contínuo com um terceiro independente para os produtos Atlassian Cloud e usamos todas as descobertas para nosso processo de desenvolvimento.

Quais métodos são usados para se proteger contra ataques comuns a aplicativos da Web (XSS, SQL injection, CSRF etc.)

Isso depende do produto. Alguns recursos são aplicados a vários produtos, outros não. Este artigo, Securing your Plugin, que faz parte do currículo do desenvolvedor, descreve alguns dos controles aplicados a vários produtos.