* [Blog](https://www.paloaltonetworks.com/blog)
* [Palo Alto Networks](https://www.paloaltonetworks.com/blog/corporate/)
* [Não categorizado](https://www.paloaltonetworks.com/blog/category/nao-categorizado/?lang=pt-br)
* 4 Etapas práticas para se...

# 4 Etapas práticas para segurança "Shift Left"

[](https://www.facebook.com/sharer/sharer.php?u=https%3A%2F%2Fwww.paloaltonetworks.com%2Fblog%2F2019%2F08%2F4-practical-steps-shift-left-security%2F%3Flang%3Dpt-br)  
[](https://twitter.com/share?text=4+Etapas+pr%C3%A1ticas+para+seguran%C3%A7a+%22Shift+Left%22&url=https%3A%2F%2Fwww.paloaltonetworks.com%2Fblog%2F2019%2F08%2F4-practical-steps-shift-left-security%2F%3Flang%3Dpt-br)  
[](https://www.linkedin.com/shareArticle?mini=true&url=https%3A%2F%2Fwww.paloaltonetworks.com%2Fblog%2F2019%2F08%2F4-practical-steps-shift-left-security%2F%3Flang%3Dpt-br&title=4+Etapas+pr%C3%A1ticas+para+seguran%C3%A7a+%22Shift+Left%22&summary=&source=)  
[](https://www.paloaltonetworks.com//www.reddit.com/submit?url=https://www.paloaltonetworks.com/blog/2019/08/4-practical-steps-shift-left-security/?lang=pt-br&ts=markdown)  
\[\](mailto:?subject=4 Etapas práticas para segurança "Shift Left")  
Link copied  
By [Matthew Chiodi](https://www.paloaltonetworks.com/blog/author/matthew-chiodi/?lang=pt-br&ts=markdown "Posts by Matthew Chiodi")  
Aug 25, 2019  
5 minutes  
[Não categorizado](https://www.paloaltonetworks.com/blog/category/nao-categorizado/?lang=pt-br&ts=markdown)

This post is also available in: [English (Inglês)](https://www.paloaltonetworks.com/blog/2019/07/4-practical-steps-shift-left-security/ "Mudar para Inglês(English)") [简体中文 (Chinês (Simplificado))](https://www.paloaltonetworks.com/blog/2019/08/4-practical-steps-shift-left-security/?lang=zh-hans "Mudar para Chinês (Simplificado)(简体中文)") [繁體中文 (Chinês (Tradicional))](https://www.paloaltonetworks.com/blog/2019/08/4-practical-steps-shift-left-security/?lang=zh-hant "Mudar para Chinês (Tradicional)(繁體中文)") [日本語 (Japonês)](https://www.paloaltonetworks.com/blog/2019/08/4-practical-steps-shift-left-security/?lang=ja "Mudar para Japonês(日本語)") [한국어 (Coreano)](https://www.paloaltonetworks.com/blog/2019/08/4-practical-steps-shift-left-security/?lang=ko "Mudar para Coreano(한국어)")

Desde o começo da computação moderna, a segurança se separou muito do desenvolvimento de software. [Pesquisas recentes sobre vulnerabilidade](https://www.paloaltonetworks.com/resources/infographics/2019-state-of-the-industry-publicly-exposed-vulnerabilities?ts=markdown) confirmam essa teoria. Consideremos que nos últimos cinco anos, de todas as vulnerabilidades publicadas, 76% vieram de aplicativos. Dada essa mudança radical no foco dos invasores, este é o momento para integrar a segurança e o desenvolvimento. A melhor forma de fazer isso é implementando uma estratégia de segurança "shift-left".

**Como definir a segurança "shift-left"**

Em termos gerais, segurança "shift left" é colocar a segurança no ponto mais inicial possível do processo de desenvolvimento. Os [CI/CD](https://dzone.com/articles/what-is-cicd) modernos geralmente envolvem um processo de oito etapas, conforme mostrado na Figura 1 a seguir. Pense que a segurança "shift-left" é boa para reduzir os riscos cibernéticos e os custos também. O System Sciences Institute da [IBM](https://www.researchgate.net/figure/IBM-System-Science-Institute-Relative-Cost-of-Fixing-Defects_fig1_255965523) observou que resolver problemas de segurança durante o desenvolvimento é seis vezes mais barato do que durante a implementação. O mesmo estudo também observou que resolver problemas de segurança durante os testes pode ser 15 vezes mais oneroso.

Intencionalmente incorporar a segurança em cada uma dessas etapas começa com estratégias claramente definidas.

![](https://www.paloaltonetworks.com/blog/wp-content/uploads/2019/07/Shift-Left.png)

Figura 1: IC/DC

**Etapa 1: defina sua estratégia de segurança "shift-left"**

O primeiro passo de toda jornada é definir onde se pretende chegar. Se trata de passar a ideia mais realista possível para sua equipe, para que ela saiba como é o sucesso. Os principais itens a serem incluídos nesse documento são a visão, propriedade/responsabilidade, eventos importantes e métricas. Espere que o documento de estratégias amadureça com o tempo e não gaste muito tempo tentando aperfeiçoá-lo. A iteração com o tempo é essencial.

**Etapa 2: compreenda onde e como o software é criado na sua organização**

Talvez um dos aspectos mais desafiadores da segurança "shift-left" é conhecer como e onde o software é criado na sua organização. Dependendo do tamanho da sua empresa, isso pode variar entre simples a extremamente desafiador.

O objetivo dessa etapa é olhar primeiro para a organização como um todo e documentar o fluxo completo do software na sua empresa. Empresas de médio a grande porte querem começar na escala macro e então levar para unidades de negócios individuais. É muito provável que cada unidade de negócios tenha seu próprio processo e suas próprias ferramentas de desenvolvimento de software. Os principais itens para identificar essa fase incluem quem está desenvolvendo o código (pessoas), como eles circulam pelos laptops de desenvolvimento para a produção (processo) e quais sistemas eles estão usando para possibilitar o processo (tecnologia). Isso também pode ser visto como a cadeia de ferramentas CI/CD. Sem dúvida, grande parte do desenvolvimento do seu software está sendo feito na nuvem pública.

**Etapa 3: como identificar e implementar protetores de qualidade da segurança**

Garantia de qualidade sempre fez parte do ciclo de vida do desenvolvimento de software. Contudo, historicamente, a qualidade do software não incluía segurança. Isso tem que mudar, e o trabalho feito nas etapas anteriores vão lhe preparar para isso. Cada etapa do processo de desenvolvimento de software é uma oportunidade de dar feedback e procurar os problemas de segurança. As equipes de segurança mais eficientes começam pequenas. Elas dão às equipes de desenvolvimento ferramentas simples e eficazes que se tornam parte da rotina diária de desenvolvimento. [Uma dessas ferramentas](https://scanapidoc.redlock.io/) foi recentemente disponibilizada de forma aberta pela Palo Alto Networks, o que significa que ela pode ser usada gratuitamente.

**Etapa 4: avaliar e treinar continuamente equipes de desenvolvimento na codificação da segurança**

Parte da sua jornada rumo à segurança "shift-left" é garantir que, antes de mais nada, as pessoas que fazem a grande parte da codificação criem códigos de segurança. Isso é difícil se você não tiver uma métrica objetiva de como está a qualificação deles hoje e um plano para a melhorar continuamente com o passar do tempo. Uma pesquisa considerou esses dados e concluiu que 19% dos desenvolvedores disseram que não estão familiarizados com o [OWASP Top 10](<https://www.owasp.org/images/7/72/OWASP_Top_10-2017_(en).pdf.pdf>) e disseram que essa é uma área que não deveria ser negligenciada. Para ressaltar esse ponto, uma pesquisa publicada recentemente pelo provedor de serviços de DevOps [GitLab](https://about.gitlab.com/developer-survey/2019/) estimou que 70% dos programadores escrevem códigos de segurança, mas apenas 25% deles acham que as práticas de segurança da empresa em que trabalham são "boas".

**Como é a segurança "shift-left"**

Vamos analisar dois cenários em que simplificamos o desenvolvimento nas etapas de construção, implementação e execução. No primeiro cenário, o desenvolvimento começa sem segurança. A qualidade do software só é verificada na hora da execução. Isso geralmente resulta em conversas difíceis entre a segurança e o desenvolvimento quando vulnerabilidades são encontradas.

![](https://www.paloaltonetworks.com/blog/wp-content/uploads/2019/07/Scenario-1-Shift-Left.png)

Entretanto, no segundo cenário, as equipes de segurança investiram tempo para compreender o processo de desenvolvimento na sua organização. Elas também consideraram o tempo para incorporar os processos de segurança e as ferramentas no pipeline de CI/CD, o que resultou em protetores automatizados para qualidade da segurança.

![](https://www.paloaltonetworks.com/blog/wp-content/uploads/2019/07/Scenario-2-Shift-Left.png)

**Conclusão**

Usar as quatro etapas acima colocarão sua organização em um caminho certeiro rumo não apenas à segurança "shift left", mas também para tornar a segurança um sinônimo de desenvolvimento. Na medida que sua organização caminha rumo ao "shift-left" como parte de sua jornada para a nuvem, é importante que os controles de segurança sejam automatizados e executados por APIs. O [Prisma](https://www.paloaltonetworks.com/prisma/cloud/cloud-workload-protection-platform?ts=markdown) da Palo Alto Networks permite que as equipes de segurança façam exatamente isso ao proteger as DevOps e o seu pipeline CI/CD.

*** ** * ** ***

## Related Blogs

### [Não categorizado](https://www.paloaltonetworks.com/blog/category/nao-categorizado/?lang=pt-br&ts=markdown)

[#### Sete princípios orientadores para selecionar a solução certa de segurança da nuvem](https://www.paloaltonetworks.com/blog/2019/08/seven-guiding-principles-selecting-right-cloud-security-solution/?lang=pt-br)

### [Não categorizado](https://www.paloaltonetworks.com/blog/category/nao-categorizado/?lang=pt-br&ts=markdown)

[#### Todas as camadas são criadas de formas diferentes](https://www.paloaltonetworks.com/blog/2019/08/network-layers-not-created-equal/?lang=pt-br)

### [Não categorizado](https://www.paloaltonetworks.com/blog/category/nao-categorizado/?lang=pt-br&ts=markdown)

[#### Como ajudar os analistas do SOC a lutarem contra a "fadiga de alertas"](https://www.paloaltonetworks.com/blog/2019/08/help-soc-analysts-fight-alert-fatigue/?lang=pt-br)

### [Não categorizado](https://www.paloaltonetworks.com/blog/category/nao-categorizado/?lang=pt-br&ts=markdown)

[#### O Cortex XDR e o Traps superaram seu desempenho na Avaliação MITRE](https://www.paloaltonetworks.com/blog/2019/08/xdr-cortex-xdr-sets-standard-mitres-attck-evaluations/?lang=pt-br)

### Subscribe to the Blog!

Sign up to receive must-read articles, Playbooks of the Week, new feature announcements, and more.
![spinner](https://www.paloaltonetworks.com/blog/wp-content/themes/panwblog2023/dist/images/ajax-loader.gif) Sign up  
Please enter a valid email.  
By submitting this form, you agree to our [Terms of Use](https://www.paloaltonetworks.com/legal-notices/terms-of-use?ts=markdown) and acknowledge our [Privacy Statement](https://www.paloaltonetworks.com/legal-notices/privacy?ts=markdown). Please look for a confirmation email from us. If you don't receive it in the next 10 minutes, please check your spam folder.  
This site is protected by reCAPTCHA and the Google [Privacy Policy](https://policies.google.com/privacy) and [Terms of Service](https://policies.google.com/terms) apply.  
{#footer} {#footer}

## Products and Services

* [AI-Powered Network Security Platform](https://www.paloaltonetworks.com/network-security?ts=markdown)

* [Secure AI by Design](https://www.paloaltonetworks.com/precision-ai-security/secure-ai-by-design?ts=markdown)

* [Prisma AIRS](https://www.paloaltonetworks.com/prisma/prisma-ai-runtime-security?ts=markdown)

* [AI Access Security](https://www.paloaltonetworks.com/sase/ai-access-security?ts=markdown)

* [Cloud Delivered Security Services](https://www.paloaltonetworks.com/network-security/security-subscriptions?ts=markdown)

* [Advanced Threat Prevention](https://www.paloaltonetworks.com/network-security/advanced-threat-prevention?ts=markdown)

* [Advanced URL Filtering](https://www.paloaltonetworks.com/network-security/advanced-url-filtering?ts=markdown)

* [Advanced WildFire](https://www.paloaltonetworks.com/network-security/advanced-wildfire?ts=markdown)

* [Advanced DNS Security](https://www.paloaltonetworks.com/network-security/advanced-dns-security?ts=markdown)

* [Enterprise Data Loss Prevention](https://www.paloaltonetworks.com/sase/enterprise-data-loss-prevention?ts=markdown)

* [Enterprise IoT Security](https://www.paloaltonetworks.com/network-security/enterprise-device-security?ts=markdown)

* [Medical IoT Security](https://www.paloaltonetworks.com/network-security/medical-device-security?ts=markdown)

* [Industrial OT Security](https://www.paloaltonetworks.com/network-security/medical-device-security?ts=markdown)

* [SaaS Security](https://www.paloaltonetworks.com/sase/saas-security?ts=markdown)

* [Next-Generation Firewalls](https://www.paloaltonetworks.com/network-security/next-generation-firewall?ts=markdown)

* [Hardware Firewalls](https://www.paloaltonetworks.com/network-security/hardware-firewall-innovations?ts=markdown)

* [Software Firewalls](https://www.paloaltonetworks.com/network-security/software-firewalls?ts=markdown)

* [Strata Cloud Manager](https://www.paloaltonetworks.com/network-security/strata-cloud-manager?ts=markdown)

* [SD-WAN for NGFW](https://www.paloaltonetworks.com/network-security/sd-wan-subscription?ts=markdown)

* [PAN-OS](https://www.paloaltonetworks.com/network-security/pan-os?ts=markdown)

* [Panorama](https://www.paloaltonetworks.com/network-security/panorama?ts=markdown)

* [Secure Access Service Edge](https://www.paloaltonetworks.com/sase?ts=markdown)

* [Prisma SASE](https://www.paloaltonetworks.com/sase?ts=markdown)

* [Application Acceleration](https://www.paloaltonetworks.com/sase/app-acceleration?ts=markdown)

* [Autonomous Digital Experience Management](https://www.paloaltonetworks.com/sase/adem?ts=markdown)

* [Enterprise DLP](https://www.paloaltonetworks.com/sase/enterprise-data-loss-prevention?ts=markdown)

* [Prisma Access](https://www.paloaltonetworks.com/sase/access?ts=markdown)

* [Prisma Browser](https://www.paloaltonetworks.com/sase/prisma-browser?ts=markdown)

* [Prisma SD-WAN](https://www.paloaltonetworks.com/sase/sd-wan?ts=markdown)

* [Remote Browser Isolation](https://www.paloaltonetworks.com/sase/remote-browser-isolation?ts=markdown)

* [SaaS Security](https://www.paloaltonetworks.com/sase/saas-security?ts=markdown)

* [AI-Driven Security Operations Platform](https://www.paloaltonetworks.com/cortex?ts=markdown)

* [Cloud Security](https://www.paloaltonetworks.com/cortex/cloud?ts=markdown)

* [Cortex Cloud](https://www.paloaltonetworks.com/cortex/cloud?ts=markdown)

* [Application Security](https://www.paloaltonetworks.com/cortex/cloud/application-security?ts=markdown)

* [Cloud Posture Security](https://www.paloaltonetworks.com/cortex/cloud/cloud-posture-security?ts=markdown)

* [Cloud Runtime Security](https://www.paloaltonetworks.com/cortex/cloud/runtime-security?ts=markdown)

* [Prisma Cloud](https://www.paloaltonetworks.com/prisma/cloud?ts=markdown)

* [AI-Driven SOC](https://www.paloaltonetworks.com/cortex?ts=markdown)

* [Cortex XSIAM](https://www.paloaltonetworks.com/cortex/cortex-xsiam?ts=markdown)

* [Cortex XDR](https://www.paloaltonetworks.com/cortex/cortex-xdr?ts=markdown)

* [Cortex XSOAR](https://www.paloaltonetworks.com/cortex/cortex-xsoar?ts=markdown)

* [Cortex Xpanse](https://www.paloaltonetworks.com/cortex/cortex-xpanse?ts=markdown)

* [Unit 42 Managed Detection \& Response](https://www.paloaltonetworks.com/cortex/managed-detection-and-response?ts=markdown)

* [Managed XSIAM](https://www.paloaltonetworks.com/cortex/managed-xsiam?ts=markdown)

* [Threat Intel and Incident Response Services](https://www.paloaltonetworks.com/unit42?ts=markdown)

* [Proactive Assessments](https://www.paloaltonetworks.com/unit42/assess?ts=markdown)

* [Incident Response](https://www.paloaltonetworks.com/unit42/respond?ts=markdown)

* [Transform Your Security Strategy](https://www.paloaltonetworks.com/unit42/transform?ts=markdown)

* [Discover Threat Intelligence](https://www.paloaltonetworks.com/unit42/threat-intelligence-partners?ts=markdown)

## Company

* [About Us](https://www.paloaltonetworks.com/about-us?ts=markdown)
* [Careers](https://jobs.paloaltonetworks.com/en/)
* [Contact Us](https://www.paloaltonetworks.com/company/contact-sales?ts=markdown)
* [Corporate Responsibility](https://www.paloaltonetworks.com/about-us/corporate-responsibility?ts=markdown)
* [Customers](https://www.paloaltonetworks.com/customers?ts=markdown)
* [Investor Relations](https://investors.paloaltonetworks.com/)
* [Location](https://www.paloaltonetworks.com/about-us/locations?ts=markdown)
* [Newsroom](https://www.paloaltonetworks.com/company/newsroom?ts=markdown)

## Popular Links

* [Blog](https://www.paloaltonetworks.com/blog/?ts=markdown)
* [Communities](https://www.paloaltonetworks.com/communities?ts=markdown)
* [Content Library](https://www.paloaltonetworks.com/resources?ts=markdown)
* [Cyberpedia](https://www.paloaltonetworks.com/cyberpedia?ts=markdown)
* [Event Center](https://events.paloaltonetworks.com/)
* [Manage Email Preferences](https://start.paloaltonetworks.com/preference-center)
* [Products A-Z](https://www.paloaltonetworks.com/products/products-a-z?ts=markdown)
* [Product Certifications](https://www.paloaltonetworks.com/legal-notices/trust-center/compliance?ts=markdown)
* [Report a Vulnerability](https://www.paloaltonetworks.com/security-disclosure?ts=markdown)
* [Sitemap](https://www.paloaltonetworks.com/sitemap?ts=markdown)
* [Tech Docs](https://docs.paloaltonetworks.com/)
* [Unit 42](https://unit42.paloaltonetworks.com/)
* [Do Not Sell or Share My Personal Information](https://panwedd.exterro.net/portal/dsar.htm?target=panwedd)
  ![PAN logo](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/pan-logo-dark.svg)
* [Privacy](https://www.paloaltonetworks.com/legal-notices/privacy?ts=markdown)
* [Trust Center](https://www.paloaltonetworks.com/legal-notices/trust-center?ts=markdown)
* [Terms of Use](https://www.paloaltonetworks.com/legal-notices/terms-of-use?ts=markdown)
* [Documents](https://www.paloaltonetworks.com/legal?ts=markdown)

Copyright © 2026 Palo Alto Networks. All Rights Reserved

* [![Youtube](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/social/youtube-black.svg)](https://www.youtube.com/user/paloaltonetworks)
* [![Podcast](https://www.paloaltonetworks.com/content/dam/pan/en_US/images/icons/podcast.svg)](https://www.paloaltonetworks.com/podcasts/threat-vector?ts=markdown)
* [![Facebook](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/social/facebook-black.svg)](https://www.facebook.com/PaloAltoNetworks/)
* [![LinkedIn](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/social/linkedin-black.svg)](https://www.linkedin.com/company/palo-alto-networks)
* [![Twitter](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/social/twitter-x-black.svg)](https://twitter.com/PaloAltoNtwks)
* EN  
  Select your language