Se você está acompanhando a nossa cobertura da Worldwide Developers Conference 2021 (WWDC 21), certamente já entendeu que, mais do que tornar os seus próprios produtos mais seguros, a Apple está fazendo um esforço formidável para ajudar a comunidade de desenvolvedores a criar aplicativos sem vulnerabilidades e que respeitem a privacidade do internauta. Além de uma série de novas APIs, a Maçã surpreendeu os programadores ao anunciar o Xcode Cloud — que, venhamos e convenhamos, é um sonho sendo realizado para quem escreve em Swift e adota a abordagem DevSecOps.
- WWDC 21 | Apple quer que você deixe de usar senhas (de uma vez por todas)
- WWDC 21 | Eis os quatro pilares da privacidade que a Apple quer que os devs respeitem
- WWDC 21 | Private Relay: Apple lança espécie de VPN para pagantes do iCloud
Antes de prosseguirmos, porém, é fundamental ressaltar o que é a abordagem DevSecOps: em poucas palavras, trata-se de uma cultura de desenvolvimento de softwares que se baseia na colaboração entre as áreas de programação, segurança da informação/compliance e operações de forma simultânea. Esse trabalho colaborativo permite que novos produtos sejam criados com a mentalidade privacy by design, ou seja, com foco na proteção de dados do usuário desde as primeiras linhas de código. Contudo, nem sempre é fácil garantir que todos da equipe tenham essa visibilidade.
E aí que entra o Xcode Cloud — agora, além de usar o Xcode de forma solitária para trabalhar em seus projetos, é possível criar um ambiente colaborativo na nuvem no qual todos os membros do seu time possam visualizar compilações, realizar testes, enviar commits e assim por diante. Trata-se de uma funcionalidade que será adicionada ao IDE; não será necessário fazer o download de qualquer pacote adicional ou assinar uma mensalidade para ter acesso a tal privilégio, o que é uma excelente notícia para empresas de grande porte que hoje contratam soluções dispendiosas de colaboração.
Tudo isso, é claro, com as devidas proteções contra eventuais ataques que podem comprometer a qualidade de seu trabalho e a segurança das informações, sejam elas pessoais ou de propriedade intelectual. “Quando criamos o Xcode Cloud, nós o desenhamos para o seu processo de desenvolvimento e sua colaboração com seu time, mas ele também foi construído com privacidade em seu núcleo”, explica Holly Lowe, gerente de design de experiência do usuário da Apple. “É por isso que todos os aspectos do Xcode Cloud são desenhados para garantir que os seus dados estão protegidos”.
De fato — os ambientes de desenvolvimento são temporários, os códigos-fonte jamais são armazenados permanentemente na nuvem da Maçã, dados de compilações são criptografados at rest em um banco de dados dedicado do CloudKit e a equipe pode apagar tudo a qualquer momento, sem deixar rastros do projeto em qualquer servidor. E, se o assunto é desenvolvimento seguro, não poderíamos deixar de citar também o novo Instruments Network, recurso inédito da ferramenta de testes Instruments.
Ele permite que você analise em detalhes todo o tráfego HTTP/S de seu aplicativo e encontre erros que, além de causar impactos no desempenho, são uma infração à privacidade dos seus usuários. “Veja no corpo da requisição. Está incluindo minhas coordenadas de locação, e isso é realmente ruim. Enviar essa informação viola a privacidade dos usuários. Não queremos coletar sua localização sem seu consentimento e por uma boa razão”, diz Kacper Harasim, engenheiro de ferramentas de desempenho, observando um projeto fictício.
“Até agora, nosso app só requer essa permissão para propósitos legítimos que tornam a experiência do usuário melhor. Nesse ponto, eu não vou me aprofundar nessa integração do SDK. Em vez disso, eu vou escrever um relatório de bug para o resto da equipe para informar todo mundo sobre esse comportamento inaceitável que eu detectei. E eu posso até mesmo usar este traço do Instruments para gerar informações necessárias para o relatório de bug”, finaliza o executivo.