Newsletter #030 - QA deve conhecer o OWASP? P. II
Seu newsletter semanal voltado para tecnologia e qualidade de software
Olá pessoal, mais uma semana de newsletter voltado para tecnologia e qualidade de software. E com felicidade falo para vocês chegamos na newsletter 30 🤩.
Na semana passada conhecemos um pouco mais da organização OWASP, mais precisamente o Top 10 vulnerabilidades que a OWASP estuda, caso não tenha lido segue o link. Hoje estaremos conhecendo como o QA pode estar utilizando o Top 10 da OWASP para aplicar melhoria nos times que atua, então vamos lá?
QA e OWASP
O QA desempenha uma papel fundamental dentro de um time a fim de mudar a cultura para com o foco em qualidade, bem como trazer visões e insights para que os times atuem em melhorias contínuas para o software, aqui se adequa o conhecimento de OWASP.
A partir do conhecimento que o QA tem a cerca do OWASP e das vulnerabilidades que estão em alta, ele deve trazer insights e melhorias constantes dentro do time nessa camada, as evoluções que ele pode realizar são:
Revisão de código: O QA pode ajudar a revisar o código-fonte em busca de possíveis vulnerabilidades de segurança, trabalhando em conjunto com os desenvolvedores para identificar e corrigir esses problemas. Nessa camada o QA pode utilizar por exemplo de ferramentas de cobertura de código (Sonarqube) para visualizar dependências do projeto que estão desatualizadas e com falhas.
Testes de segurança automatizados: O analista de qualidade deve criar e executar testes automatizados para verificar a presença de vulnerabilidades conhecidas, como injeção de SQL, cross-site scripting (XSS) e outras vulnerabilidades listadas no OWASP Top 10.
Treinamento e conscientização: A pessoa analista de qualidade em alguns momentos necessita fornecer treinamento e conscientização sobre práticas de segurança para toda a equipe de desenvolvimento, garantindo que todos compreendam a importância da segurança e saibam como evitar vulnerabilidades comuns. Aqui o QA inicialmente pode trazer uma visão de impacto de como as vulnerabilidades listadas no Top 10 pode acabar com um produto ou negócio.
Revisão de arquitetura e design: O analista QA pode participar da revisão de arquitetura e design do sistema para identificar possíveis pontos fracos de segurança e sugerir medidas preventivas desde as fases iniciais do desenvolvimento. Na camada de arquitetura, quanto antes o QA atuar no desenvolvimento da aplicação, mais pode achar pontos que são de melhoria, principalmente na visão de segurança.
Testes de resiliência: O QA pode realizar testes de resiliência para avaliar como o sistema responde a ataques e eventos inesperados, garantindo que ele seja capaz de se defender e se recuperar adequadamente. Atualmente ferramentas de teste de carga ou próprias de ataque DDoS podem ser utilizadas para garantir que a aplicação suporte um ataque desse tipo.
Análise de vulnerabilidades: O analista de qualidade pode realizar testes de penetração e análises de vulnerabilidades para identificar falhas de segurança no software e na infraestrutura subjacente. Atualmente há cursos e treinamentos voltados para essa camada de análise de vulnerabilidade, sempre bom estarmos aperfeiçoando nosso conhecimento!
Devemos sempre lembrar que o profissional de qualidade é responsável por garantir que o software atenda aos requisitos de qualidade estabelecidos. A partir do conhecimento do Top 10 da OWASP, o analista de qualidade consegue aumentar a garantia de que o software seja de alta qualidade e seguro desde o início do desenvolvimento até a entrega final. Ao integrar práticas de teste de qualidade e considerações de segurança desde o início do ciclo de vida do desenvolvimento de software, as equipes podem reduzir significativamente o risco de falhas e vulnerabilidades no software.
Bom pessoal, nessa semana respondemos a pergunta se o QA necessita conhecer de OWASP. Para as próximas semanas continuaremos nessa camada mais técnica, talvez até com um pouco de automação 😆. Até semana que vem 🚀!
O que rolou de Tecnologia?
Vulnerabilidades de Cross-Site Scripting (XSS): estratégias de teste e exemplos - como estamos conversando sobre OWASP, nada melhor conhecer estratégias de teste para um tipo de vulnerabilidade listada no OWASP. Vale a pena a leitura.
Como tornamos o Blockchain tão popular quanto a IA? - artigo muito interessante do hackernoon. Apresenta uma visão muito interessante do quão foi revolucionário o conceito de blockchain e como ainda não alcançamos todo seu potencial sendo até para o artigo além da IA.
Implementando uma arquitetura orientada a serviços em 2024 - não pode faltar um tutorial na nossa newsletter. Nesse tutorial é abordado como criar uma arquitetura de serviço com as principais tecnologias do mercado.
E Qualidade de Software, como está?
Sobre o valor de um engenheiro de teste - acredito que cada vez mais teremos que mostrar nosso valor dentro de uma organização. Nesse artigo apresenta uma visão de maneiras de demonstrar nossa atuação e a importância que ela tem para dentro de uma empresa.
TDD ou teste por último? Uma coisa de cada vez - aquela treta de sempre, TDD ou testar no final? Artigo muito interessante que apresenta essa visão e os pontos principais de como separar aquele mindset que sempre critica o TDD.
Teste de Desempenho – A Ignorância Incomum na Prática e na Cultura - texto excelente que apresenta uma visão que muitas empresas tem sobre o teste de desempenho e como mitigar para que consiga tirar esse pensamento e criar uma cultura.
Eventos Importantes não perca!
Tendências em Tecnologia 2024 - Evento Online.
Data: 28/02
Inscrições abertas
Vejo vocês na próxima newsletter 😁🚀!
“A simplicidade é a máxima sofisticação.” – Leonardo Da Vinci