Falhas em Observabilidade afetam as Apps e a Segurança das Organizações

0

Da rede 5G ao coração dos negócios digitais, tudo é aplicação, tudo é API (Application Programming Interface), tudo é conectado em diversas camadas. Processos de negócios dependem de software, e software rodando, cada vez mais, na nuvem híbrida. É o que revela o estudo State of Application Strategy 2023, relatório baseado em entrevistas com 1000 CEOs e CISOs do mundo todo, incluindo 92 profissionais do Brasil. 85% dos entrevistados gerenciam aplicações e APIs rodando em ambientes on-premises, Edge Computing e em nuvens públicas como Microsoft Azure, Google e AWS. Mais de 20% desses líderes lidam com seis ambientes diferentes de nuvem.

Neste quadro fluido, as APIs são cada vez mais críticas para os negócios. Vale destacar que o Brasil é o terceiro maior consumidor de APIs em todo o mundo, ficando atrás somente da Índia e dos EUA neste quesito. Somente em 2022, foram 52,4 milhões de APIs movimentando os negócios. O Brasil é, ainda o quarto maior publicador de APIs, com 5,45 bilhões de linguagens.

Velocidade é a grande meta dos desenvolvedores de software

A maior meta de pessoas e empresas que desenvolvem software é a busca pela velocidade. Os processos de negócios são, hoje, baseados em portais B2B e B2C e em Mobile Apps que suportam a realização de transações. O dinamismo é tal que a aplicação se transforma num "organismo vivo", passando por milhares ou milhões de atualizações diárias, muitas delas geradas pela conexão de dados suportada pelas APIs.

Neste contexto, é comum que a pressa em atualizar e implementar o software dificulte que esse processo aconteça de acordo com as melhores práticas em cybersecurity e em observabilidade. O resultado são aplicações derrubadas ou por ataques de gangues criminosas ou por falhas de performance.

As APIs têm sido um alvo preferencial de ataques. É o que revela a edição 2023 do estudo State of APIs, realizado pela Postman a partir de entrevistas on-line com 40.000 desenvolvedores e gestores de TI de todo o mundo. Numa resposta de múltipla escolha, 30% deste universo indicaram que falhas de autenticação, autorização ou controle de acesso de APIs são suas maiores preocupações. 18% sofrem com vazamentos de dados, enquanto 8% acusam o golpe de ataques DoS focados nas APIs. A solução de um quadro como esse passa pela busca do alinhamento de toda a esteira de desenvolvimento às melhores práticas em cybersecurity.

SDLC alinhado às melhores práticas de observabilidade

A resiliência da aplicação e da API demanda, também, o compromisso com a disciplina de observabilidade. O estudo da Postman indica, por exemplo, que 16% dos gestores lutam com falhas ligadas à gestão do universo Multicloud. Outros 13% tentam contornar inconsistências nos processos de logging e monitoramento. A maturidade do SDLC (Software Development Life Cycle, Ciclo de Vida de Desenvolvimento de Software) vivenciado pela empresa exige que se some, às disciplinas de desenvolvimento e segurança digital, os diferenciais trazidos pela observabilidade.

A missão da observabilidade é fornecer contexto, ferramentas de depuração e insights profundos e granulares sobre a TI. No complexo mundo das nuvens, aplicações e APIs, o mero monitoramento não é capaz de chegar à causa-raiz e à análise aprofundada do incidente. A observabilidade oferece a inteligência necessária para coletar em "n" ambientes dados críticos, de modo que se possa identificar quando erros ocorrem e por que eles ocorrem. Para isso, lança-se luz sobre todos os estágios e os diferentes componentes digitais do ciclo de vida do desenvolvimento de software.

Essa disciplina é estratégica, também, para os líderes de negócios. À medida que a tecnologia se torna o motor primário de lucro, os KPIs de infraestrutura de software se tornam KPIs de negócios. É que todo o universo da tecnologia existe com uma só missão: proporcionar a melhor experiência do usuário (UX). Essa realidade coloca um fim na era do monitoramento de métricas estáticas, incapazes investigar em profundidade a UX ou de desempenho dos sistemas. Um painel de monitoramento todo em verde pode, na complexa era do cloud computing, Apps e APIs, mostrar apenas parte da história. E, com isso, fazer com que o usuário/consumidor continue frustrado, incapaz de realizar transações.

Isso explica porque, segundo estudo do Gartner de 2021, até 2024, 30% das empresas que usam arquiteturas de aplicações distribuídas terão implantado soluções de observabilidade. Em 2020 essa marca estava em 10%. A tendência é corroborada pelo relatório 2022 Observabilidade Forecast, estudo construído em 2022 a partir de entrevistas com 1614 profissionais de todo o mundo. 82% das organizações usaram 4 ou mais ferramentas de observabilidade; 27% delas obtiveram observabilidade full-stack e, finalmente, 5% empregam práticas de observabilidade maduras.

Os líderes que aliaram a observabilidade à sua esteira de desenvolvimento conseguem disponibilizar aplicações e APIs com mais rapidez e menos problemas, e tempo de inoperância reduzido. Segundo o estudo da Splunk de 2022 State of Observabilidade, 41% das organizações conseguem identificar em poucos minutos problemas em Apps desenvolvidos internamente. Isso leva a uma melhoria de 37% no tempo médio de detecção de falhas (MTTD Mean Time to Detect or Discover).

Logs, Métricas e Traces

A capacidade de visualizar todos os estágios do ciclo de vida do desenvolvimento é resultado do alinhamento do SDLC às melhores práticas de observabilidade. Isso é feito a partir das três colunas desta disciplina:

Logs – Os logs são críticos para a compreensão do comportamento de uma aplicação a qualquer momento. Eles fornecem uma visão detalhada de eventos que ocorreram no sistema, incluindo mensagens de depuração e de erro.

Métricas – As métricas fornecem uma visão de alto nível sobre como a aplicação está se comportando, indicando o uso e a saúde geral de aplicação. Essas métricas são a base sobre a qual serão construídos KPIs sobre o impacto da aplicação nos negócios.

Traces – Os "traces" são essenciais para a compreensão do fluxo de ponta a ponta na esteira de desenvolvimento. Esses "vestígios" permitem aos desenvolvedores acompanharem todas as interações e conexões entre serviços e visualizarem a maneira como as solicitações de dados se movem ao longo de todo o ambiente de nuvem.

O resultado desta metolodogia é uma clara visão sobre um ambiente complexo e distribuído, algo crítico para facilitar a identificação e a correção de falhas em tempo real.

Lentidão do App: uma nova abordagem 

Imagine uma lentidão no App Uber às 9:35 da manhã de uma segunda-feira. Não seria estratégico se o gestor pudesse saber que essa lentidão está atrelada ao novo pacote de software implementado neste horário? Que esse pacote/desenvolvimento foi feito pelo "squad X"? Essa clareza de análise é resultado do alinhamento do processo de desenvolvimento à disciplina de observabilidade. Isso dá ao líder argumentos para voltar atrás e pedir para o "squad X" (muitas vezes terceirizado) refazer o trabalho, retestar tudo. A visão de métricas sobre a esteira muda todo o jogo da área de DevSecOps.

A maturidade na cultura de DevSecOps exige um olhar ao mesmo tempo consultivo e criativo: todas as inovações digitais passam, hoje, pela camada de software. Faz-se necessária uma abordagem de 360º em que curadores certificados simultaneamente em desenvolvimento, segurança digital e observabilidade atuem de forma preditiva e proativa para garantir a qualidade de serviço do software. A convergência dessas três áreas é a base para um SDLC vencedor, que preserve ao mesmo tempo a velocidade de desenvolvimento de aplicações e APIs, a segurança e a performance desses sistemas críticos. Quem seguir esse caminho conquistará uma plataforma digital capaz de encantar o cliente/usuário, multiplicar os negócios e fortalecer a economia do Brasil.

Alex Camargo, CTO da Delfia Curadoria de jornadas digitais.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.