Newsletter #029 - QA deve conhecer o OWASP? P. I
Seu newsletter semanal voltado para tecnologia e qualidade de software
Olá pessoal, mais uma semana de newsletter voltado para tecnologia e qualidade de software.
Como de costume, na semana passada terminamos de conferir sobre o tema de DORA Métricas e QA, caso você não tenha conseguido ler, segue o link. Nessa semana aproveitando de uma pergunta que recebi vamos conhecer mais sobre OWASP e como o QA deve conhecer e atuar na camada de segurança. Então bora lá?
OWASP
OWASP é uma sigla para Open Web Application Security Project, sendo uma organização internacional sem fins lucrativos dedicada a segurança de aplicativos web. Um dos princípios fundamentais do OWASP é que todos os seus materiais estejam disponíveis gratuitamente e facilmente acessíveis em seu site, tornando possível para qualquer pessoa melhorar a segurança de seus próprios aplicativos web. Dentre seus materiais, como eventos, tutoriais e mais diversas documentações se encontra o OWASP Top 10, que é o foco da newsletter de hoje.
O OWASP Top 10 é um relatório atualizado regularmente por grandes especialistas da área que descreve questões de segurança para aplicativos web, com foco nos 10 riscos mais críticos. Seu modelo é caracterizado como um "documento de conscientização" e recomenda que todas as empresas incorporem o relatório em seus processos, a fim de minimizar os riscos de segurança. Abaixo trago o top 10 riscos apresentados pelo OWASP com o link em cada um das vulnerabilidades para vocês estarem aprofundando no risco e como previnir:
Quebra de Controle de Acesso: esse tipo de vulnerabilidade é ocasionado por alguma falha no controle de acesso e permissão, dando brecha para que o invasor consiga, alterar, visualizar ou até mesmo excluir dados que são sensíveis.
Falhas Criptográficas: esse tipo de vulnerabilidade é conhecida também como falha de visualização de dados sensíveis. Muitas aplicações utilizam de formas de hashs simples que são fáceis de serem quebradas, liberando assim um dado que não poderia ser visível por todos.
Injeção: essa falha está desde o primeiro Top 10, até hoje ranqueado entre os 5 primeiros. É uma vulnerabilidade de segurança da web que permite que um invasor interfira nas consultas que um aplicativo faz ao seu banco de dados. Geralmente, permite que um invasor visualize dados que normalmente ele não é capaz de visualizar.
Design Inseguro: é uma vulnerabilidade característica por falhas em design system e padrões arquiteturais, muito ocasionado por erros na modelagem da aplicação, percas de pacotes, threads e muitos outros fatores.
Configuração Incorreta de Segurança: com o próprio nome diz, é um erro ocasionado por dados incorretos ou configurações de segurança com brechas. Dentro dessa vulnerabilidade apresenta como o de maior risco recursos desnecessários são ativados ou instalados (por exemplo, portas, serviços, páginas, contas ou privilégios desnecessários).
Componentes Vulneráveis e Desatualizados: esta vulnerabilidade se da por falhas em pacotes de softwares desatualizados, dependências ultrapassadas. Isso inclui o sistema operacional, servidor web/application, sistema de gerenciamento de banco de dados (DBMS), aplicações, APIs e todos os componentes, ambientes de tempo de execução e bibliotecas.
Falhas de identificação e autenticação: esse tipo de vulnerabilidade vem em crescente nos últimos anos e se dá a partir de falhas em formas de validar o usuário. Nesse tópico é apresentado a grande importância e o porque é necessário cada vez mais a autenticação de dois fatores.
Falhas de Software e Integridade de Dados: falhas na integridade de software e dados estão relacionadas a código e infraestrutura que não protegem contra violações de integridade. Um exemplo disso é quando um aplicativo depende de plugins, bibliotecas ou módulos de fontes, repositórios e redes de entrega de conteúdo (CDNs) não confiáveis.
Falhas de registro e monitoramento de segurança: vulnerabilidade que voltou ao Top 10 após alguns anos sem se apresentar. Nesse tipo de vulnerabilidade é ocasionado por falhas e falta de monitoramento na segurança dos ambientes. Essas falhas são por exemplo, logs de aplicativos e APIs não são monitorados quanto a atividades suspeitas e eventos auditáveis, como logins, falhas nos logins e transações de alto valor, não são registrados.
Falsificação de Solicitação do Lado do Servidor (SSRF): as falhas de SSRF ocorrem sempre que um aplicativo da web busca um recurso remoto sem validar a URL fornecida pelo usuário. Ele permite que um invasor force o aplicativo a enviar uma solicitação criada para um destino inesperado, mesmo quando protegido por um firewall, VPN ou outro tipo de lista de controle de acesso à rede.
Para melhor entendimento e também para que a newsletter não fique muito extensa, vou dividir em duas partes na qual essa primeira conhecemos sobre o OWASP e o Top 10 e na próxima semana vamos conhecer o papel e atuação do QA a fim de garantir a segurança das aplicações. Até lá 🚀!
O que rolou de Tecnologia?
Três diagramas sem os quais os arquitetos não conseguem viver - todos nós da área já passamos pela dificuldade de criar diagramas, mesmo sendo diagramas básicos como de UML nos consome um tempo grande. Nesse artigo é apresentado três diagramas que todo arquiteto deve conhecer.
O ágil falhou. Oficialmente - aquela leitura polêmica da semana. Será que a agilidade falhou? Estamos vendo o fim da agilidade em nossa área? Tire suas conclusões!.
Como o Uber encontra motoristas próximos com 1 milhão de solicitações por segundo - acredito que é uma pergunta que muita gente já se fez, como que o Uber consegue encontrar o motorista mais próximo? Excelente artigo que apresenta uma visão técnica e por baixo dos panos de como o uber possui algoritmos para encontrar o motorista mais próximo.
E Qualidade de Software, como está?
Como conduzir análises de risco em testes de software? - A análise de risco de um software está sempre na visão do QA em uma entrega. Nesse texto é abordado como o QA pode desenvolver características para auxiliar a diminuir os riscos que são altos em uma entrega.
Testes E2E com Playwright, Cucumber e Typescript - playwright está cada vez mais em utilização dentro das empresas. Assim, nada mais justo a gente conhecer e se aprofundar nessa ferramenta que tudo indica será o futuro dos testes E2E.
A habilidade secreta em seu currículo de QA - todos nós passamos pelas dificuldades de criar um currículo atraente para aquela tão sonhada vaga. No texto é apresentado qual são as habilidades que todo QA deve ter e que deve colocar para seu currículo se tornar atraente. Válido a leitura.
Eventos Importantes não perca!
Tendências em Tecnologia 2024 - Evento Online.
Data: 28/02
Inscrições abertas
Vejo vocês na próxima newsletter 😁🚀!
“Devemos não somente nos defender, mas também nos afirmar, e nos afirmar não somente enquanto identidades, mas enquanto força criativa.” – Michel Foucault