# SEC11-BP01 Treinar para segurança de aplicações
Forneça treinamento à sua equipe sobre práticas seguras de desenvolvimento e operação, o que os ajuda a criar software seguro e de alta qualidade. Essa prática ajuda sua equipe a prevenir, detectar e corrigir problemas de segurança no início do ciclo de vida do desenvolvimento. Considere um treinamento que abranja modelagem de ameaças, práticas seguras de codificação e uso de serviços para configurações e operações seguras. Forneça à sua equipe acesso ao treinamento por meio de recursos de autoatendimento e colete regularmente seus comentários para melhoria contínua.
**Resultado desejado:** você equipa sua equipe com o conhecimento e as habilidades necessárias para projetar e criar software com a segurança em mente desde o início. Por meio de treinamento em modelagem de ameaças e práticas seguras de desenvolvimento, sua equipe tem uma compreensão profunda dos possíveis riscos de segurança e de como mitigá-los durante o ciclo de vida de desenvolvimento de software (SDLC). Essa abordagem proativa de segurança faz parte da cultura da sua equipe, e você pode identificar e corrigir possíveis problemas de segurança desde o início. Como resultado, sua equipe fornece software e recursos seguros e de alta qualidade com mais eficiência, o que acelera o cronograma geral de entrega. Você tem uma cultura de segurança colaborativa e inclusiva em sua organização, na qual a propriedade da segurança é compartilhada por todos os criadores.
**Práticas comuns que devem ser evitadas:**
+ Aguardar uma avaliação de segurança e só depois considerar as propriedades de segurança de um sistema.
+ Deixar todas as decisões de segurança para uma equipe de segurança central.
+ Não comunicar como as decisões tomadas no SDLC se relacionam às expectativas ou políticas de segurança gerais da organização.
+ Iniciar o processo de avaliação da segurança muito tarde.
**Benefícios de implementar esta prática recomendada:**
+ Melhor conhecimento dos requisitos organizacionais para a segurança na fase inicial do ciclo de desenvolvimento.
+ Ser capaz de identificar e solucionar possíveis problemas de segurança com maior rapidez, promovendo uma entrega de recursos mais rápida.
+ Maior qualidade do software e dos sistemas.
**Nível de risco exposto se esta prática recomendada não for estabelecida:** Médio
## Orientação para implementação
Para criar software seguro e de alta qualidade, forneça treinamento à sua equipe sobre práticas comuns para desenvolvimento e operação de aplicações com segurança. Essa prática pode ajudar sua equipe a prevenir, detectar e corrigir problemas de segurança no início do ciclo de vida do desenvolvimento, o que pode acelerar o cronograma de entrega.
Para alcançar essa prática, considere treinar a equipe em modelagem de ameaças usando recursos da AWS, como o [workshop de modelagem de ameaças](https://catalog.workshops.aws/threatmodel/en-US). A modelagem de ameaças pode ajudar sua equipe a entender possíveis riscos de segurança e projetar sistemas com a segurança em mente desde o início. Além disso, você pode fornecer acesso ao [Treinamento da AWS and Certification](https://www.aws.training/LearningLibrary?filters=Language%3A1%20Domain%3A27), indústria ou treinamento de parceiros da AWS sobre práticas seguras de desenvolvimento. Para conferir mais detalhes sobre uma abordagem abrangente para projetar, desenvolver, proteger e operar com eficiência em grande escala, consulte [AWS DevOps Guidance](https://docs.aws.amazon.com/wellarchitected/latest/devops-guidance/devops-guidance.html).
Defina e comunique claramente o processo de avaliação da segurança da organização e descreva as responsabilidades da sua equipe, da equipe de segurança e de outras partes interessadas. Publique orientações de autoatendimento, exemplos de código e modelos que demonstrem como atender aos requisitos de segurança. Você pode usar serviços da AWS, como [AWS CloudFormation](https://aws.amazon.com/cloudformation/), [constructos do AWS Cloud Development Kit (AWS CDK) (AWS CDK)](https://docs.aws.amazon.com/cdk/v2/guide/constructs.html) e [Service Catalog](https://aws.amazon.com/servicecatalog/), para fornecer configurações pré-aprovadas e seguras e reduzir a necessidade de configurações personalizadas.
Colete feedback regularmente da equipe sobre a experiência com o processo e o treinamento de avaliação da segurança e use esse feedback para promover melhorias contínuas. Conduza dias de jogos ou campanhas de combate de bugs para identificar e resolver problemas de segurança e, ao mesmo tempo, aprimorar as habilidades de sua equipe.
### Etapas de implementação
1. **Identifique as necessidades de treinamento**: avalie o nível atual de habilidades e as lacunas de conhecimento da sua equipe em relação às práticas de desenvolvimento seguro por meio de pesquisas, revisões de código ou discussões com os membros da equipe.
1. **Planeje o treinamento**: com base nas necessidades identificadas, crie um plano de treinamento que aborde tópicos relevantes, como modelagem de ameaças, práticas seguras de codificação, testes de segurança e práticas de implantação segura. Empregue recursos, como o [workshop de modelagem de ameaças](https://catalog.workshops.aws/threatmodel/en-US), o [Treinamento da AWS and Certification](https://www.aws.training/LearningLibrary?filters=Language%3A1%20Domain%3A27) e programas de treinamento do setor ou de parceiros da AWS.
1. **Agende e ofereça treinamento**: agende sessões de treinamento ou workshops regulares para sua equipe. Eles podem ser conduzidos por um instrutor ou individualizados, dependendo das preferências e da disponibilidade da sua equipe. Incentive exercícios práticos e exemplos práticos para reforçar o aprendizado.
1. **Defina um processo de análise de segurança**: colabore com a equipe de segurança e outras partes interessadas para definir claramente o processo de revisão de segurança das aplicações. Documente as responsabilidades de cada equipe ou indivíduo envolvido no processo, incluindo sua equipe de desenvolvimento, equipe de segurança e outras partes interessadas relevantes.
1. **Crie recursos de autoatendimento**: desenvolva diretrizes de autoatendimento, exemplos de código e modelos que demonstrem como atender aos requisitos de segurança da sua organização. Considere serviços da AWS, como [CloudFormation](https://aws.amazon.com/cloudformation/), [constructos do AWS CDK](https://docs.aws.amazon.com/cdk/v2/guide/constructs.html) e [Service Catalog](https://aws.amazon.com/servicecatalog/), para fornecer configurações pré-aprovadas e seguras e reduzir a necessidade de configurações personalizadas.
1. **Comunique-se e socialize**: comunique com eficácia o processo de revisão de segurança e os recursos de autoatendimento disponíveis para sua equipe. Conduza sessões de treinamento ou workshops para familiarizá-los com esses recursos e verificar se eles entendem como usá-los.
1. **Obtenha feedback e melhore**: colete feedback regularmente da equipe sobre a experiência com o processo e o treinamento de avaliação da segurança. Use esse feedback para identificar áreas de melhoria e refinar continuamente os materiais de treinamento, os recursos de autoatendimento e o processo de revisão de segurança.
1. **Realize exercícios de segurança**: organize dias de jogo ou campanhas de combate a bugs para identificar e resolver problemas de segurança nas aplicações. Esses exercícios não apenas ajudam a descobrir possíveis vulnerabilidades, mas também servem como oportunidades de aprendizado prático para sua equipe, aprimorando suas habilidades em desenvolvimento e operação seguros.
1. **Continue aprendendo e melhorando:** incentive sua equipe a se manter atualizada com as mais recentes práticas, ferramentas e técnicas de desenvolvimento seguro. Revise e atualize regularmente os materiais e recursos de treinamento para refletir o cenário de segurança em evolução e as práticas recomendadas.
## Recursos
**Práticas recomendadas relacionadas:**
+ [SEC11-BP08 Criar um programa que incorpore a propriedade de segurança nas equipes de workload](sec_appsec_build_program_that_embeds_security_ownership_in_teams.md)
**Documentos relacionados:**
+ [Treinamento da AWS e certificação](https://www.aws.training/LearningLibrary?query=&filters=Language%3A1%20Domain%3A27&from=0&size=15&sort=_score&trk=el_a134p000007C9OtAAK&trkCampaign=GLBL-FY21-TRAINCERT-800-Security&sc_channel=el&sc_campaign=GLBL-FY21-TRAINCERT-800-Security-Blog&sc_outcome=Training_and_Certification&sc_geo=mult)
+ [Como pensar sobre a governança da segurança na nuvem](https://aws.amazon.com/blogs/security/how-to-think-about-cloud-security-governance/)
+ [Como abordar a modelagem de ameaças](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/)
+ [Acelerar o treinamento — AWS Skills Guild](https://docs.aws.amazon.com/whitepapers/latest/public-sector-cloud-transformation/accelerating-training-the-aws-skills-guild.html)
+ [AWS DevOps Sagas](https://docs.aws.amazon.com/wellarchitected/latest/devops-guidance/the-devops-sagas.html)
**Vídeos relacionados:**
+ [Segurança proativa: considerações e abordagens](https://www.youtube.com/watch?v=CBrUE6Qwfag)
**Exemplos relacionados:**
+ [Workshop sobre modelagem de ameaças](https://catalog.workshops.aws/threatmodel)
+ [Conscientização do setor para desenvolvedores](https://owasp.org/www-project-top-ten/)
**Serviços relacionados:**
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [AWS Cloud Development Kit (AWS CDK) (AWS CDK) Constructos do](https://docs.aws.amazon.com/cdk/v2/guide/constructs.html)
+ [Service Catalog](https://aws.amazon.com/servicecatalog/)