Skip to content

OWASP Cornucopia – um agile game para identificar potenciais falhas de segurança em softwares

Você já ouviu falar em codificação segura? Sabe onde encontrar material sobre isto? E sabe onde encontrar cases sobre segurança em software ?

Pois bem, talvez você tenha aberto uma nova aba no navegador e começado  a pesquisar. Garanto que você encontrou poucas referências em português, mesmo a nossa nação sendo um país com muitos incidentes referente a segurança.

Os gráficos abaixo são do CERT.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil) e demonstram uma série de incidentes ocorridos na internet brasileira.

Total de Incidentes Reportados ao CERT.br por ano

Fonte: https://www.cert.br/stats/incidentes/ (acessado dia 20/02/2018 às 16h27)

Incidentes reportados ao CERT.br de Janeiro a Dezembro de 2016

 

Fonte: https://www.cert.br/stats/incidentes/2016-jan-dec/tipos-ataque.html (acessado dia 20/02/2018 às 16h28)

 

Mas será que este tema deve ser observado somente por equipes de infraestrutura e redes? Quão importante é um desenvolvedor de aplicações web conhecer possíveis tipos de ataques existentes? E se o desenvolvedor tiver este conhecimento, ele poderia mitigar as vulnerabilidades através da codificação correta e segura de software?

Elmo Vila Sésamo pensativo

Fonte: https://media.giphy.com/media/8acGIeFnqLA7S/giphy.gif

Pensando em facilitar este conhecimento, a OWASP (Open Web Application Security Project) desenvolveu um agile game denominado Cornucopia. O objetivo do jogo é gerar uma lista de bugs potenciais numa aplicação web através de gameficação e participação de diversos interessados no produto (desenvolvedores, analistas, tester, dono de produto ou stakeholders). O game não prevê como serão solucionadas as vulnerabilidades identificadas. Isto deve ser feito em outro momento. O benefício gerado é termos exatamente quais itens de segurança que devem ser tratados pelo time em tempo oportuno.

Cornucopia: Como é o jogo?

Este jogo é composto por um baralho com 6 naipes e 2 curingas. Cada naipe representa uma categoria que deve ser validada no software web. Os naipes disponíveis são:

  • VALIDAÇÃO DE DADOS DE ENTRADA E CODIFICAÇÃO DE DADOS DE SAÍDA
  • AUTENTICAÇÃO E GERENCIAMENTO DE CREDENCIAIS
  • GERENCIAMENTO DE SESSÕES
  • CONTROLE DE ACESSOS
  • PRÁTICAS DE CRIPTOGRAFIA
  • CORNUCOPIA (categoria especial de ataques)
Compartilhe:
Continue lendo

Construir soluções em vez de só consumi-las: Como DB1 Start pode ajudar nisto

Entre os meses de agosto e outubro, tive a alegria de conduzir um grupo de 32 pessoas incríveis. Elas chegaram até a minha pessoa após um processo severo de seleção e foram selecionadas para fazer parte da segunda turma do DB1 Start.

O que é o DB1 Start

DB1 Start é um curso gratuito com 200h de duração para apaixonados por tecnologia. Ele traz a experiência de fazer um projeto completo de software, através das boas práticas de mercado.

O objetivo do curso é compartilhar práticas utilizadas para a formação de trainees. O curso teve início em 21/08 e término em 01/11. Foram 32 alunos participantes, dentre eles, 31 concluintes e 12 contratados até dezembro.

Estas pessoas chegaram com suas diversas idades e formações. O que as unia era o desejo de participar deste mundo tecnológico tão evolutivo.

Foram 10 semanas muito intensas. O foco era torná-los produtores de tecnologia e não mais apenas consumidores. Resumindo, prazo curto para tantas possibilidades e muitos sonhos envolvidos.

Compartilhe:
Continue lendo
Back To Top
Code Journey
Privacy Overview

This website uses cookies so that we can provide you with the best user experience possible. Cookie information is stored in your browser and performs functions such as recognising you when you return to our website and helping our team to understand which sections of the website you find most interesting and useful.