alex-camargo

11/11/2023

Falhas em Observabilidade afetam os Apps e a Segurança das Organizações

Da rede 5G ao coração dos negócios digitais, tudo é aplicação, tudo é API (Application Programming Interface), tudo é conectado em diversas camadas. Processos de negócios dependem de software, e software rodando, cada vez mais, na nuvem híbrida. É o que revela o estudo State of Application Strategy 2023, relatório baseado em entrevistas com 1000 CEOs e CISOs do mundo todo, incluindo 92 profissionais do Brasil. 85% dos entrevistados gerenciam aplicações e APIs rodando em ambientes on-premises, Edge Computing e em nuvens públicas como Microsoft Azure, Google e AWS. Mais de 20% desses líderes lidam com seis ambientes diferentes de nuvem.

Neste quadro fluido, as APIs são cada vez mais críticas para os negócios. Vale destacar que o Brasil é o terceiro maior consumidor de APIs em todo o mundo, ficando atrás somente da Índia e dos EUA neste quesito. Somente em 2022, foram 52,4 milhões de APIs movimentando os negócios. O Brasil é, ainda o quarto maior publicador de APIs, com 5,45 bilhões de linguagens.

Velocidade é a grande meta dos desenvolvedores de software — A maior meta de pessoas e empresas que desenvolvem software é a busca pela velocidade. Os processos de negócios são, hoje, baseados em portais B2B e B2C e em Mobile Apps que suportam a realização de transações. O dinamismo é tal que a aplicação se transforma num “organismo vivo”, passando por milhares ou milhões de atualizações diárias, muitas delas geradas pela conexão de dados suportada pelas APIs.

Neste contexto, é comum que a pressa em atualizar e implementar o software dificulte que esse processo aconteça de acordo com as melhores práticas em cybersecurity e em observabilidade. O resultado são aplicações derrubadas ou por ataques de gangues criminosas ou por falhas de performance.

As APIs têm sido um alvo preferencial de ataques. É o que revela a edição 2023 do estudo State of APIs, realizado pela Postman a partir de entrevistas on-line com 40.000 desenvolvedores e gestores de TI de todo o mundo. Numa resposta de múltipla escolha, 30% deste universo indicaram que falhas de autenticação, autorização ou controle de acesso de APIs são suas maiores preocupações. 18% sofrem com vazamentos de dados, enquanto 8% acusam o golpe de ataques DoS focados nas APIs. A solução de um quadro como esse passa pela busca do alinhamento de toda a esteira de desenvolvimento às melhores práticas em cybersecurity.

SDLC alinhado às melhores práticas de observabilidade — A resiliência da aplicação e da API demanda, também, o compromisso com a disciplina de observabilidade. O estudo da Postman indica, por exemplo, que 16% dos gestores lutam com falhas ligadas à gestão do universo Multicloud. Outros 13% tentam contornar inconsistências nos processos de logging e monitoramento. A maturidade do SDLC (Software Development Life Cycle, Ciclo de Vida de Desenvolvimento de Software) vivenciado pela empresa exige que se some, às disciplinas de desenvolvimento e segurança digital, os diferenciais trazidos pela observabilidade.

A missão da observabilidade é fornecer contexto, ferramentas de depuração e insights profundos e granulares sobre a TI. No complexo mundo das nuvens, aplicações e APIs, o mero monitoramento não é capaz de chegar à causa-raiz e à análise aprofundada do incidente. A observabilidade oferece a inteligência necessária para coletar em “n” ambientes dados críticos, de modo que se possa identificar quando erros ocorrem e por que eles ocorrem. Para isso, lança-se luz sobre todos os estágios e os diferentes componentes digitais do ciclo de vida do desenvolvimento de software.

Essa disciplina é estratégica, também, para os líderes de negócios. À medida que a tecnologia se torna o motor primário de lucro, os KPIs de infraestrutura de software se tornam KPIs de negócios. É que todo o universo da tecnologia existe com uma só missão: proporcionar a melhor experiência do usuário (UX). Essa realidade coloca um fim na era do monitoramento de métricas estáticas, incapazes investigar em profundidade a UX ou de desempenho dos sistemas. Um painel de monitoramento todo em verde pode, na complexa era do cloud computing, Apps e APIs, mostrar apenas parte da história. E, com isso, fazer com que o usuário/consumidor continue frustrado, incapaz de realizar transações.

Isso explica porque, segundo estudo do Gartner de 2021, até 2024, 30% das empresas que usam arquiteturas de aplicações distribuídas terão implantado soluções de observabilidade. Em 2020 essa marca estava em 10%. A tendência é corroborada pelo relatório 2022 Observabilidade Forecast, estudo construído em 2022 a partir de entrevistas com 1614 profissionais de todo o mundo. 82% das organizações usaram 4 ou mais ferramentas de observabilidade; 27% delas obtiveram observabilidade full-stack e, finalmente, 5% empregam práticas de observabilidade maduras.

Os líderes que aliaram a observabilidade à sua esteira de desenvolvimento conseguem disponibilizar aplicações e APIs com mais rapidez e menos problemas, e tempo de inoperância reduzido. Segundo o estudo da Splunk de 2022 State of Observabilidade, 41% das organizações conseguem identificar em poucos minutos problemas em Apps desenvolvidos internamente. Isso leva a uma melhoria de 37% no tempo médio de detecção de falhas (MTTD Mean Time to Detect or Discover).

Logs, Métricas e Traces — A capacidade de visualizar todos os estágios do ciclo de vida do desenvolvimento é resultado do alinhamento do SDLC às melhores práticas de observabilidade. Isso é feito a partir das três colunas desta disciplina:

Logs – Os logs são críticos para a compreensão do comportamento de uma aplicação a qualquer momento. Eles fornecem uma visão detalhada de eventos que ocorreram no sistema, incluindo mensagens de depuração e de erro.

Métricas – As métricas fornecem uma visão de alto nível sobre como a aplicação está se comportando, indicando o uso e a saúde geral de aplicação. Essas métricas são a base sobre a qual serão construídos KPIs sobre o impacto da aplicação nos negócios.

Traces – Os “traces” são essenciais para a compreensão do fluxo de ponta a ponta na esteira de desenvolvimento. Esses “vestígios” permitem aos desenvolvedores acompanharem todas as interações e conexões entre serviços e visualizarem a maneira como as solicitações de dados se movem ao longo de todo o ambiente de nuvem.

O resultado desta metolodogia é uma clara visão sobre um ambiente complexo e distribuído, algo crítico para facilitar a identificação e a correção de falhas em tempo real.

Lentidão do App: uma nova abordagem — Imagine uma lentidão no App Uber às 9:35 da manhã de uma segunda-feira. Não seria estratégico se o gestor pudesse saber que essa lentidão está atrelada ao novo pacote de software implementado neste horário? Que esse pacote/desenvolvimento foi feito pelo “squad X”? Essa clareza de análise é resultado do alinhamento do processo de desenvolvimento à disciplina de observabilidade. Isso dá ao líder argumentos para voltar atrás e pedir para o “squad X” (muitas vezes terceirizado) refazer o trabalho, retestar tudo. A visão de métricas sobre a esteira muda todo o jogo da área de DevSecOps.

A maturidade na cultura de DevSecOps exige um olhar ao mesmo tempo consultivo e criativo: todas as inovações digitais passam, hoje, pela camada de software. Faz-se necessária uma abordagem de 360º em que curadores certificados simultaneamente em desenvolvimento, segurança digital e observabilidade atuem de forma preditiva e proativa para garantir a qualidade de serviço do software. A convergência dessas três áreas é a base para um SDLC vencedor, que preserve ao mesmo tempo a velocidade de desenvolvimento de aplicações e APIs, a segurança e a performance desses sistemas críticos. Quem seguir esse caminho conquistará uma plataforma digital capaz de encantar o cliente/usuário, multiplicar os negócios e fortalecer a economia do Brasil.

. Por: Alex Camargo, CTO da Delfia Curadoria de jornadas digitais.