Segurança de aplicações e governança: como estruturar programas de AppSec alinhados ao negócio

A discussão sobre segurança de aplicações vem ganhando espaço nas agendas de tecnologia à medida que as empresas lidam com ciclos de desenvolvimento mais rápidos, maior dependência de software e uma superfície de ataque cada vez mais ampla. Ao longo desta entrevista, os pontos trazidos por Lauana Junta reforçam como priorização de risco, integração de AppSec ao dia a dia de desenvolvimento e visão de ciclo de vida completo das aplicações se tornaram elementos centrais na construção de programas de segurança de aplicações que realmente sustentam o negócio.

Nesse contexto, a colaboração entre Checkmarx e Nova8 no Brasil segue a tendência de combinar uma plataforma global de AppSec com o conhecimento de um parceiro local sobre o ambiente regulatório, cultural e operacional de cada organização. Para as organizações, a discussão sobre AppSec deixa de ser apenas técnica e passa a se conectar com decisões de negócio, governança e continuidade operacional, em linha com os movimentos mais recentes do setor de cibersegurança.

A superfície de ataque das organizações explodiu nos últimos anos: mais aplicações, mais APIs, mais dependências de terceiros e ciclos de release cada vez mais curtos. Nesse cenário, segurança de aplicações, ou AppSec, deixou de ser um checklist no fim do projeto e passou a ser uma disciplina contínua, do código à produção.

A demanda por plataformas completas de AppSec colocou o tema no centro das discussões de cibersegurança e nos principais relatórios globais de mercado, como o Magic Quadrant do Gartner para Application Security Testing, que refletem a busca por abordagens mais integradas de gestão de risco em software.

Para detalhar esse cenário, a equipe da Nova8 conversou com Lauana Junta, porta-voz da Checkmarx, sobre a evolução da plataforma, o reconhecimento do Gartner e o papel dessa atuação conjunta no apoio a programas de AppSec em diferentes tipos de empresa.

1. Lauana, se nós voltarmos dez anos no tempo, qual era o problema de AppSec que a Checkmarx queria resolver e como esse problema mudou até aqui?
Quando a Checkmarx começou a ganhar escala, o foco principal era dar visibilidade sobre vulnerabilidades em código-fonte de uma forma mais estruturada do que os testes manuais permitiam. O contexto era outro: aplicações mais monolíticas, menos uso de microsserviços, pipelines de CI/CD ainda em amadurecimento.
Hoje, o cenário é completamente diferente. As empresas trabalham com arquiteturas distribuídas, múltiplas linguagens, APIs em larga escala e um volume enorme de componentes de terceiros. O que a Checkmarx fez ao longo dessa década foi acompanhar essa evolução: sair de um ponto específico do ciclo (o código) para oferecer uma visão de risco de aplicação de ponta a ponta, conectando esse risco ao impacto para o negócio.

2. A Checkmarx aparece de forma consistente como líder em relatórios globais como o Magic Quadrant do Gartner para Application Security Testing. Na sua visão, o que esse tipo de reconhecimento valida em termos de estratégia de produto?Esse reconhecimento mostra que a Checkmarx não está apenas respondendo a demandas pontuais, mas seguindo uma linha estratégica clara ao longo do tempo.
Ele valida três pontos importantes:

Amplitude da cobertura de AppSec – não ficamos restritos a um único tipo de teste, mas evoluímos para uma plataforma que enxerga diferentes camadas do ciclo de desenvolvimento.
Capacidade de integração – a plataforma conversa bem com o ecossistema que o cliente já usa, em vez de exigir uma ruptura completa.
Equilíbrio entre profundidade técnica e usabilidade – é uma solução que fala com o time de segurança mais avançado, mas também com o desenvolvedor que está no dia a dia do código.

No fim, relatórios como o Magic Quadrant reforçam que estamos no caminho certo ao pensar em plataforma e programa de AppSec, não apenas em ferramenta.

3. Vocês falam em segurança “do left ao right”. O que isso significa, de forma pragmática, para quem está desenhando um programa de AppSec com Checkmarx?
“Do left ao right” é sair do discurso e acompanhar a aplicação durante todo o ciclo de vida. Na prática, no left significa trazer segurança para o início, com análise de código, dependências e infraestrutura como código ainda na IDE e no pipeline de CI/CD, o que reduz retrabalho e encurta o ciclo de correção. No centro, o foco está em consolidar achados de diferentes engines, aplicar políticas e priorização de risco em um único ponto, com visibilidade para as áreas de segurança, desenvolvimento e liderança. Já no right, entra o uso do contexto de produção, considerando exposição, criticidade da aplicação e perfil de uso para refinar a priorização e garantir que o esforço de correção esteja alinhado ao risco real.
Mais do que “scanear mais cedo”, é usar a mesma visão de risco ao longo do ciclo todo.

4. Quando você olha para os clientes mais maduros em AppSec, onde eles ainda esbarram e como a Checkmarx ajuda a superar esses pontos?
Mesmo em organizações avançadas, vemos três desafios recorrentes: fragmentação, com ferramentas isoladas por etapa e sem uma visão única de risco por aplicação; ruído, com excesso de falsos positivos e de findings que não conversam com o contexto da aplicação; e dificuldade de traduzir AppSec em linguagem de negócio, mantendo a discussão presa em métricas essencialmente técnicas. A Checkmarx atua nesses pontos ao:

Unificar a visão de risco de aplicação, independentemente da origem dos achados.
Reduzir ruído com correlação, contexto e priorização inteligentes.
Gerar visibilidade em um nível em que a liderança passa a enxergar AppSec como parte da resiliência digital e da continuidade do negócio, não apenas como custo ou obrigação de compliance.

5. A plataforma nasceu forte em SAST e hoje fala de ciclo completo de AppSec. Como foi essa transição?
A origem em SAST foi importante para garantir profundidade técnica na análise de código-fonte. Mas o próprio mercado mostrou que isso não bastava.
A evolução veio em três movimentos principais: incorporar análise de componentes de terceiros e open source, já que o risco não está apenas no código que a empresa escreve; trazer visibilidade sobre configurações e infraestrutura como código, que podem abrir portas críticas na nuvem; e avançar para uma plataforma que correlaciona achados, aplica políticas e prioriza por risco, em vez de entregar listas desconectadas de vulnerabilidades.
Hoje, quando falamos em Checkmarx, falamos de uma visão de AppSec que enxerga o software como um todo, e não só o código estático.

6. Vocês se aproximam de uma década de parceria com a Nova8 no Brasil. O que essa longevidade revela sobre a forma como Checkmarx e Nova8 constroem e sustentam esse trabalho em conjunto?
Uma década é tempo suficiente para mostrar que não se trata de uma parceria tática, e sim estratégica. Isso quer dizer que existe alinhamento de visão, em que tanto a Checkmarx quanto a Nova8 acreditam em programa de AppSec estruturado, e não em projetos pontuais; que a Nova8 atua como Trusted Advisor, ajudando a traduzir a plataforma para a realidade de cada organização, em termos de processo, cultura e governança; e que, ao longo desse período, acompanhamos a evolução de maturidade de vários clientes, ajustando o uso da plataforma conforme o ambiente e o negócio mudam. Essa combinação de plataforma global com parceiro local, com visão consultiva, é um dos fatores que explicam a adoção sustentável da Checkmarx no Brasil.
Esta parceria, Nova8 e Checkmarx, têm ajudado organizações de diferentes setores a estruturar programas de AppSec que realmente escalam, mantendo a produtividade dos times de desenvolvimento e traduzindo em resultados concretos para as empresas.

7. Em ambientes grandes, com microsserviços, monolitos legados, múltiplas linguagens e vários repositórios, como a Checkmarx lida com escala e priorização?
Quando falamos de escala em AppSec, entendemos que a questão vai muito além de rodar mais scans, mais rápido. O objetivo é ajudar a tomar decisões melhores em ambientes complexos.
Nós tratamos isso de forma muito pragmática:

Centralizamos os achados em uma visão única por aplicação, o que é fundamental em arquiteturas distribuídas.
Consideramos contexto de exposição, criticidade de cada sistema e dependências para decidir o que vem primeiro.
Integramo-nos aos fluxos de trabalho, como backlog, boards e pipelines, para distribuir correções de forma coordenada entre os squads.

O resultado é que o time sai da sensação de “milhares de vulnerabilidades” para um cenário em que existe um conjunto claro de ações prioritárias, orientadas por risco.

8. Um ponto sensível em AppSec é o excesso de falsos positivos. Como a plataforma trata isso, pensando tanto em segurança quanto em experiência do desenvolvedor?
Se a solução gera muito ruído, ela simplesmente não é usada.
A Checkmarx trabalha esse tema em três níveis:

Qualidade dos motores de detecção, para evitar falsos positivos já na origem.
Uso de contexto e correlação, para filtrar achados que, na prática, não se traduzem em risco relevante naquela aplicação.
Experiência do desenvolvedor, com feedback direto nas ferramentas que ele já usa, e orientações objetivas de correção.

A mensagem é: menos atrito, mais foco no que realmente importa. Isso aumenta a adesão dos times e fortalece a cultura de segurança.

9. Considerando IA generativa, crescimento do uso de open source e novas demandas de compliance, quais são os vetores que mais influenciam o roadmap da Checkmarx hoje?
Quando olhamos para o roadmap da Checkmarx hoje, vemos alguns vetores bem definidos puxando essa agenda. O primeiro está ligado à velocidade. IA generativa está acelerando a produção de código em um nível sem precedentes, e isso exige que nós coloquemos mais automação de segurança ao longo de todo o ciclo de desenvolvimento, não só em pontos isolados.
O segundo vetor tem relação com a complexidade da cadeia de software. O volume de dependências, integrações e componentes open source cresceu muito, e as empresas precisam de uma visão mais robusta de software supply chain para entender onde realmente estão expostas.
O terceiro diz respeito à governança. Cada vez mais, AppSec precisa ser traduzido em métricas e evidências que façam sentido para auditorias, conselhos e reguladores, saindo do nível puramente técnico.
Nosso roadmap acompanha esses movimentos, com foco em mais automação, mais contexto e mais capacidade de conectar segurança de aplicações ao nível de governança e de gestão de risco corporativo.

10. Na sua opinião, o que precisa estar na pauta quando olhamos para os próximos cinco anos em AppSec? Que visão deve orientar esse próximo passo evolutivo?
Quando pensamos nos próximos cinco anos em AppSec, o mais importante é enxergar segurança de aplicações como parte da estratégia de negócio, não como um projeto paralelo de tecnologia. O tema deixou de ser opcional. Ele está diretamente ligado à capacidade das empresas de inovar com previsibilidade e de sustentar sua operação em um cenário de risco crescente.
Para organizações que hoje contam com algumas ferramentas pontuais, o primeiro passo não é adicionar mais tecnologia, é organizar a visão de risco. Isso significa entender quais aplicações são críticas para o negócio, quais controles já existem, onde estão as lacunas e as sobreposições, e a partir daí desenhar uma trajetória de evolução que faça sentido para a realidade da empresa, em ondas, com prioridades claras e resultados mensuráveis.
Já em empresas mais maduras, a agenda costuma estar muito ligada à integração e à profundidade. É conectar melhor AppSec ao fluxo de desenvolvimento, aumentar o nível de automação, aproximar as métricas de risco de aplicações das métricas de negócio e fortalecer a governança, permitindo que liderança e conselhos tenham uma leitura consistente do impacto da segurança de software.
O ponto em comum, independentemente do estágio, é que segurança de aplicações precisa ser tratada como um programa contínuo. Quanto mais cedo incorporamos segurança no ciclo de desenvolvimento e quanto mais mantemos essa preocupação ao longo de toda a jornada da aplicação, mais previsível se torna o esforço, mais produtivos são os times e mais preparado o negócio fica para lidar com os desafios que certamente virão nesse horizonte de cinco anos.

                                                                                                           Direto da fonte