Todo ano, a Black Duck entrevista centenas de profissionais de segurança, desenvolvimento e operações ao redor do mundo para entender como as organizações estão evoluindo — ou travando — na adoção de práticas de AppSec. O resultado é o relatório Global State of DevSecOps, uma das referências mais completas do setor.
As descobertas do relatório mais recente revelam um setor em transição: as empresas reconhecem a importância do DevSecOps, mas ainda enfrentam obstáculos concretos para implementá-lo de forma eficaz.
As principais descobertas
Velocidade versus segurança ainda é o principal conflito
A pressão por entregas rápidas continua sendo o maior obstáculo para a adoção de práticas de segurança no ciclo de desenvolvimento. Equipes relatam que ferramentas de segurança que geram fricção no pipeline são frequentemente desativadas ou ignoradas — o que anula o investimento feito nelas.
A solução apontada pelos entrevistados é clara: ferramentas que se integram ao fluxo existente sem exigir configurações complexas ou interromper o trabalho dos desenvolvedores.
Detecção precoce é o caminho
Organizações que identificam e corrigem vulnerabilidades mais cedo no ciclo de desenvolvimento gastam significativamente menos tempo e dinheiro do que aquelas que descobrem problemas em produção. O relatório reforça a importância de integrar testes de segurança desde o início — no IDE, no pull request, no pipeline de CI/CD.
Cultura DevSecOps precisa ser construída, não imposta
Um dos achados mais relevantes do relatório é que iniciativas de DevSecOps bem-sucedidas têm algo em comum: investimento em educação e conscientização dos desenvolvedores. Empresas que tratam segurança como responsabilidade exclusiva do time de AppSec avançam muito mais devagar do que aquelas que distribuem essa responsabilidade por toda a equipe de desenvolvimento.
Automação é o que separa os líderes dos demais
Organizações mais maduras em DevSecOps automatizam a avaliação de riscos em cada etapa do pipeline — não dependem de revisões manuais esporádicas. Isso garante que nenhum código chegue à produção sem ter passado por pelo menos uma camada de verificação automatizada.
O que isso significa para empresas brasileiras
O Brasil ainda está em estágio anterior ao dos mercados norte-americano e europeu em termos de maturidade de AppSec. Muitas empresas ainda tratam segurança como etapa final — um checkbox antes do deploy — em vez de uma prática integrada ao desenvolvimento.
Isso representa tanto um risco quanto uma oportunidade. Empresas que estruturarem um programa de DevSecOps agora saem na frente em conformidade regulatória, redução de incidentes e eficiência operacional.
A FCBR apoia empresas brasileiras nessa jornada desde 2017, implementando as ferramentas Black Duck com foco em resultados práticos e adaptados à realidade local. Se sua empresa está começando a estruturar um programa de AppSec ou quer evoluir o que já existe, entre em contato para uma conversa sem compromisso. Conheça mais sobre a Black Duck aqui.