Please use this identifier to cite or link to this item:
http://repositorio.ufc.br/handle/riufc/86134| Type: | TCC |
| Title: | Caracterização de Práticas de AppSec e da Adoção de Ferramentas Automatizadas de Segurança: Um Questionário Abrangente com Desenvolvedores Brasileiros |
| Authors: | Bastos, Carlos Adriel Sousa |
| Advisor: | Uchôa, Anderson Gonçalves |
| Co-advisor: | Bezerra, Carla Ilane Moreira |
| Keywords in Brazilian Portuguese : | AppSec;Segurança de software;Ferramentas automatizadas;Desenvolvedores |
| Keywords in English : | AppSec;Software security;Automated tools;Developers |
| Knowledge Areas - CNPq: | CNPQ::CIENCIAS EXATAS E DA TERRA::CIENCIA DA COMPUTACAO::METODOLOGIA E TECNICAS DA COMPUTACAO |
| Issue Date: | 2026 |
| Citation: | BASTOS, Carlos Adriel Sousa. Caracterização de Práticas de AppSec e da Adoção de Ferramentas Automatizadas de Segurança: Um Questionário Abrangente com Desenvolvedores Brasileiros. 2026. 160 f. Trabalho de Conclusão de Curso (Graduação em Segurança da Informação) – Campus de Itapajé, Universidade Federal do Ceará, Itapajé, 2026. |
| Abstract in Brazilian Portuguese: | A adoção de práticas de segurança em aplicações (Application Security – AppSec) é fundamental para proteger sistemas contra vulnerabilidades e ameaças cibernéticas. Entretanto, a efetividade dessas práticas depende fortemente de sua adoção consistente e da percepção dos desenvolvedores em relação à sua facilidade de uso, efetividade, essencialidade e aplicabilidade no contexto do desenvolvimento de software. Este estudo visa caracterizar um conjunto de práticas de AppSec quanto à frequência de uso, facilidade de aplicação, efetividade percebida e essencialidade percebida no desenvolvimento de software. Além disso, busca-se analisar como as ferramentas automatizadas de segurança vêm sendo incorporadas ao processo de desenvolvimento e quais desafios os desenvolvedores brasileiros enfrentam em sua adoção. Para atingir esses objetivos, foi inicialmente conduzido um levantamento sistemático de trabalhos relacionados na literatura científica, a partir do qual foi identificado e catalogado um conjunto inicial de práticas de segurança de software. Esse conjunto passou por um processo iterativo de filtragem, refinamento e agrupamento, conduzido por especialistas em Engenharia de Software e Segurança de Software, com o objetivo de eliminar redundâncias, harmonizar terminologias e garantir relevância prática e conceitual. Como resultado, foi definido um conjunto final de 16 práticas de AppSec. Em seguida, foi elaborado e aplicado um questionário direcionado a desenvolvedores de software no Brasil, totalizando 83 participantes válidos. O questionário abordou a experiência dos participantes com segurança de software, a adoção e percepção de práticas de AppSec e o uso de ferramentas automatizadas. Os dados revelam um cenário heterogêneo de adoção, com variações significativas entre práticas quanto à frequência, facilidade, efetividade e essencialidade percebidas. Práticas como revisão de código e uso de ferramentas estáticas são amplamente utilizadas, enquanto outras, como modelagem de ameaças e testes de penetração, apresentam menor aplicabilidade. Além disso, ferramentas automatizadas são vistas como valiosas, mas desenvolvedores enfrentam desafios como curva de aprendizado, falsos positivos e integração ao fluxo de trabalho. Os achados contribuem para o entendimento sobre o uso real de práticas e ferramentas de segurança no desenvolvimento de software no Brasil. Espera-se que os resultados subsidiem ações educacionais e estratégias organizacionais para fortalecer a cultura de segurança entre desenvolvedores e promover a adoção eficaz de práticas de AppSec. |
| Abstract: | The adoption of Application Security (AppSec) practices is essential to protect software systems against vulnerabilities and cyber threats. However, the effectiveness of these practices strongly depends on their consistent adoption and on developers’ perceptions regarding their ease of use, perceived effectiveness, essentiality, and applicability within the software development context. This study aims to characterize a set of AppSec practices in terms of frequency of use, ease of application, perceived effectiveness, and perceived essentiality in software development. In addition, it seeks to analyze how automated security tools are being incorporated into the development process and to identify the main challenges faced by Brazilian developers in their adoption. To achieve these objectives, we first conducted a survey of related work in the scientific literature, from which an initial and comprehensive set of software security practices was identified and cataloged. This initial set then underwent an iterative process of filtering, refinement, and grouping, carried out by experts in Software Engineering and Software Security, intending to reduce redundancy, harmonize terminology, and ensure both conceptual and practical relevance. As a result, a final set of 16 AppSec practices was defined. Subsequently, a questionnaire was designed and administered to software developers working in Brazil, yielding a total of 83 valid participants. The questionnaire collected information about participants’ profiles, their experience with software security, their adoption and perceptions of AppSec practices, and their use of automated security tools. The results reveal a heterogeneous landscape of AppSec practice adoption, with significant variations across practices in terms of frequency of use, ease of application, perceived effectiveness, and perceived essentiality. Practices such as code review and the use of static analysis tools show widespread adoption, whereas others, such as threat modeling and penetration testing, exhibit lower applicability. Moreover, although automated security tools are widely perceived as valuable, developers report recurring challenges related to learning curves, false positives, and integration into existing development workflows. The findings contribute to a deeper understanding of the actual use of security practices and tools in software development within the Brazilian context. The results are expected to inform educational initiatives and organizational strategies aimed at strengthening developers’ security culture and promoting a more consistent and effective adoption of AppSec practices. |
| URI: | http://repositorio.ufc.br/handle/riufc/86134 |
| Author's ORCID: | https://orcid.org/0009-0001-8575-5044 |
| Author's Lattes: | https://lattes.cnpq.br/1863781724674163 |
| Advisor's ORCID: | https://orcid.org/0000-0002-6847-5569 |
| Advisor's Lattes: | http://lattes.cnpq.br/3740664626762609 |
| Co-advisor's ORCID: | https://orcid.org/0000-0002-5879-5067 |
| Co-advisor's Lattes: | http://lattes.cnpq.br/4277471687235814 |
| Access Rights: | Acesso Aberto |
| Appears in Collections: | SEGURANÇA DA INFORMAÇÃO - ITAPAJÉ - TCC |
Files in This Item:
| File | Description | Size | Format | |
|---|---|---|---|---|
| 2026_tcc_casbastos.pdf | 2,62 MB | Adobe PDF | View/Open |
Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.