A segurança de aplicações (AppSec) ganhou um novo status dentro das empresas. O aumento no volume de software, a complexidade das arquiteturas e a aceleração dos ciclos de desenvolvimento fizeram com que o tema deixasse de ser operacional e passasse a ocupar espaço na estratégia de negócio.
Esse movimento acompanha uma mudança estrutural no cenário de cibersegurança, onde a preocupação já não está apenas em identificar vulnerabilidades, mas em entender o impacto real desses riscos sobre a operação, a governança e a continuidade das empresas.
De acordo com Lauana Junta, porta-voz da Checkmarx, essa transformação está diretamente ligada à forma como o software evoluiu na última década.
Da análise de código à gestão de risco de ponta a ponta
Ao analisar a evolução do AppSec, Lauana explica que, no início, o foco estava concentrado na identificação de vulnerabilidades em código-fonte, com o objetivo de estruturar algo que antes dependia fortemente de testes manuais.
Naquele cenário, predominavam aplicações monolíticas, com menor uso de microsserviços e pipelines de CI/CD ainda em amadurecimento. Hoje, no entanto, o ambiente é muito mais complexo. Segundo ela, as empresas operam com arquiteturas distribuídas, múltiplas linguagens, APIs em larga escala e um volume significativo de componentes de terceiros.
Diante dessa transformação, a segurança deixou de atuar em um ponto específico do ciclo e passou a exigir uma visão de ponta a ponta. Lauana destaca que a evolução da Checkmarx acompanhou esse movimento ao conectar vulnerabilidades técnicas ao impacto direto no negócio, ampliando o conceito de gestão de risco em aplicações.
Reconhecimento do mercado reforça mudança para plataformas completas de AppSec
A presença consistente da Checkmarx entre os líderes do Magic Quadrant do Gartner para Application Security Testing reflete, segundo Lauana Junta, uma estratégia construída ao longo do tempo, e não uma resposta pontual às demandas do mercado.
Na avaliação da executiva, esse tipo de reconhecimento valida uma abordagem baseada em plataforma, que amplia a cobertura de AppSec para diferentes camadas do desenvolvimento, sem se limitar a um único tipo de teste. Ao mesmo tempo, destaca a importância da integração com o ecossistema já existente nas empresas, evitando rupturas nos fluxos de trabalho.
Outro ponto enfatizado por Lauana é o equilíbrio entre profundidade técnica e usabilidade, permitindo que a segurança converse tanto com especialistas quanto com desenvolvedores no dia a dia. Para ela, esse movimento consolida uma mudança importante: AppSec deixa de ser ferramenta isolada e passa a ser programa estruturado.
Segurança “do left ao right” e a integração ao ciclo completo de desenvolvimento
Ao tratar do conceito de segurança “do left ao right”, Lauana Junta reforça que o desafio não está apenas em antecipar testes, mas em acompanhar a aplicação ao longo de todo o seu ciclo de vida.
Na prática, isso significa inserir segurança desde o início, ainda na IDE e nos pipelines de CI/CD, o que reduz retrabalho e acelera correções. Ao longo do processo, os achados são consolidados e correlacionados, permitindo aplicação e políticas e priorização de risco com visibilidade para diferentes áreas da empresa.
Já em produção, o uso de contexto como exposição, criticidade e perfil de uso permite refinar a priorização e alinhar as correções ao risco real. Segundo Lauana, o diferencial está justamente em manter a mesma visão de risco do início ao fim do ciclo.
Os gargalos que ainda travam programas maduros de AppSec
Mesmo em organizações mais avançadas, Lauana aponta que alguns desafios continuam recorrentes. A fragmentação de ferramentas ainda dificulta a construção de uma visão unificada de risco por aplicação, enquanto o excesso de falsos positivos gera ruído e reduz a eficiência das equipes.
Outro ponto crítico, segundo ela, está na dificuldade de traduzir AppSec em linguagem de negócio. Muitas vezes, a discussão permanece restrita a métricas técnicas, o que impede que a segurança seja percebida como parte da estratégia corporativa.
Nesse cenário, a evolução das plataformas busca justamente consolidar informações, reduzir ruídos por meio de contexto e priorização inteligente e elevar a visibilidade para níveis mais estratégicos dentro das organizações.
Da especialização em SAST à visão integrada de segurança de software
A trajetória da Checkmarx ilustra a própria evolução do mercado. Lauana explica que a origem em SAST foi fundamental para garantir profundidade na análise de código, mas rapidamente se mostrou insuficiente diante da complexidade dos ambientes modernos.
A expansão passou a incluir análise de componentes open source, visibilidade sobre infraestrutura como código e mecanismos de correlação de vulnerabilidades. O objetivo deixou de ser a entrega de listas de falhas e passou a ser a priorização orientada por risco.
Hoje, segundo ela, a segurança precisa considerar o software como um todo incluindo dependências, configurações e integrações e não apenas o código desenvolvido internamente.
Parceria no Brasil e o papel da maturidade em AppSec
A parceria entre Checkmarx e Nova8, que se aproxima de uma década, também reflete essa evolução para modelos mais estruturados de AppSec.
Na visão de Lauana Junta, essa longevidade indica um alinhamento estratégico entre as empresas, baseado na construção de programas contínuos, e não em projetos pontuais.
Ela destaca o papel da Nova8 como Trusted Advisor, ajudando a adaptar a plataforma à realidade de cada organização, considerando processos, cultura e governança.
Esse modelo, que combina tecnologia global com atuação consultiva local, tem contribuído para a evolução da maturidade de clientes em diferentes setores, permitindo que programas de segurança escalem sem comprometer a produtividade dos times de desenvolvimento.
Escala, complexidade e o desafio de priorizar o que realmente importa
Em ambientes com microsserviços, múltiplas linguagens e diversos repositórios, Lauana ressalta que o desafio vai além da execução de testes. O ponto central passa a ser a tomada de decisão. Segundo ela, a abordagem precisa considerar contexto de exposição, criticidade das aplicações e dependências para definir prioridades.
A centralização dos achados em uma visão única por aplicação e a integração com fluxos de trabalho, como backlog e pipelines, ajudam a transformar volume de vulnerabilidades em ações concretas. O resultado, na prática, é a saída de um cenário caótico para um modelo orientado por risco e impacto.
Menos ruído, mais adoção: o impacto dos falsos positivos
O excesso de falsos positivos continua sendo um dos principais entraves para a efetividade de programas de AppSec. Lauana é direta ao afirmar que soluções que geram muito ruído acabam sendo ignoradas pelos times.
Para enfrentar esse problema, ela destaca a importância de melhorar a qualidade dos motores de detecção, incorporar contexto na análise e oferecer feedback direto nas ferramentas já utilizadas pelos desenvolvedores.
A lógica, segundo a executiva, é reduzir o atrito e aumentar o foco no que realmente importa, fortalecendo a cultura de segurança dentro das equipes.
IA generativa, open source e governança pressionam o AppSec
O avanço da IA generativa é apontado por Lauana como um dos principais vetores de transformação do AppSec. A velocidade de produção de código cresce de forma acelerada, o que exige maior automação de segurança ao longo de todo o ciclo de desenvolvimento.
Ao mesmo tempo, o aumento das dependências e da complexidade da cadeia de software amplia a necessidade de visibilidade sobre a chamada software supply chain. Segundo ela, as empresas precisam entender com mais precisão onde estão expostas.
Outro fator relevante é a governança. Lauana destaca que AppSec precisa cada vez mais ser traduzido em métricas e evidências compreensíveis para auditorias, conselhos e reguladores, conectando segurança técnica à gestão de risco corporativo.
O futuro do AppSec: de suporte técnico a pilar estratégico
Ao projetar os próximos anos, Lauana Junta reforça que a segurança de aplicações não pode mais ser tratada como um projeto paralelo. Para ela, o tema está diretamente ligado à capacidade das empresas de inovar com previsibilidade e sustentar suas operações em um cenário de risco crescente.
Organizações menos maduras, segundo a executiva, precisam primeiro estruturar sua visão de risco, entendendo quais aplicações são críticas e onde estão as lacunas. Já empresas mais avançadas tendem a focar em integração, automação e governança.
Apesar das diferenças de estágio, há um ponto comum: AppSec precisa ser tratado como um programa contínuo. Quanto mais cedo a segurança é incorporada ao desenvolvimento e quanto mais consistente é sua aplicação ao longo do ciclo, maior a previsibilidade, a produtividade e a resiliência do negócio.
A segurança de aplicações se consolida, assim, como um dos principais pilares da resiliência digital. Em um cenário em que o software sustenta operações críticas, a capacidade de gerenciar riscos de forma estruturada deixa de ser diferencial e passa a ser condição básica para a continuidade das empresas.
