OWASP Cornucopia – um agile game para identificar potenciais falhas de segurança em softwares

Você já ouviu falar em codificação segura? Sabe onde encontrar material sobre isto? E sabe onde encontrar cases sobre segurança em software ?

Pois bem, talvez você tenha aberto uma nova aba no navegador e começado  a pesquisar. Garanto que você encontrou poucas referências em português, mesmo a nossa nação sendo um país com muitos incidentes referente a segurança.

Os gráficos abaixo são do CERT.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil) e demonstram uma série de incidentes ocorridos na internet brasileira.

Total de Incidentes Reportados ao CERT.br por ano

Fonte: https://www.cert.br/stats/incidentes/ (acessado dia 20/02/2018 às 16h27)

Incidentes reportados ao CERT.br de Janeiro a Dezembro de 2016

 

Fonte: https://www.cert.br/stats/incidentes/2016-jan-dec/tipos-ataque.html (acessado dia 20/02/2018 às 16h28)

 

Mas será que este tema deve ser observado somente por equipes de infraestrutura e redes? Quão importante é um desenvolvedor de aplicações web conhecer possíveis tipos de ataques existentes? E se o desenvolvedor tiver este conhecimento, ele poderia mitigar as vulnerabilidades através da codificação correta e segura de software?

Elmo Vila Sésamo pensativo

Fonte: https://media.giphy.com/media/8acGIeFnqLA7S/giphy.gif

Pensando em facilitar este conhecimento, a OWASP (Open Web Application Security Project) desenvolveu um agile game denominado Cornucopia. O objetivo do jogo é gerar uma lista de bugs potenciais numa aplicação web através de gameficação e participação de diversos interessados no produto (desenvolvedores, analistas, tester, dono de produto ou stakeholders). O game não prevê como serão solucionadas as vulnerabilidades identificadas. Isto deve ser feito em outro momento. O benefício gerado é termos exatamente quais itens de segurança que devem ser tratados pelo time em tempo oportuno.

Cornucopia: Como é o jogo?

Este jogo é composto por um baralho com 6 naipes e 2 curingas. Cada naipe representa uma categoria que deve ser validada no software web. Os naipes disponíveis são:

  • VALIDAÇÃO DE DADOS DE ENTRADA E CODIFICAÇÃO DE DADOS DE SAÍDA
  • AUTENTICAÇÃO E GERENCIAMENTO DE CREDENCIAIS
  • GERENCIAMENTO DE SESSÕES
  • CONTROLE DE ACESSOS
  • PRÁTICAS DE CRIPTOGRAFIA
  • CORNUCOPIA (categoria especial de ataques)

Leia mais

Construir soluções em vez de só consumi-las: Como DB1 Start pode ajudar nisto

Entre os meses de agosto e outubro, tive a alegria de conduzir um grupo de 32 pessoas incríveis. Elas chegaram até a minha pessoa após um processo severo de seleção e foram selecionadas para fazer parte da segunda turma do DB1 Start.

O que é o DB1 Start

DB1 Start é um curso gratuito com 200h de duração para apaixonados por tecnologia. Ele traz a experiência de fazer um projeto completo de software, através das boas práticas de mercado.

O objetivo do curso é compartilhar práticas utilizadas para a formação de trainees. O curso teve início em 21/08 e término em 01/11. Foram 32 alunos participantes, dentre eles, 31 concluintes e 12 contratados até dezembro.

Estas pessoas chegaram com suas diversas idades e formações. O que as unia era o desejo de participar deste mundo tecnológico tão evolutivo.

Foram 10 semanas muito intensas. O foco era torná-los produtores de tecnologia e não mais apenas consumidores. Resumindo, prazo curto para tantas possibilidades e muitos sonhos envolvidos. Leia mais