Pular para conteúdo

Próximos passos para Desenvolvedores

A tarefa de criar e manter software seguro, ou, corrigir software existente, pode ser uma tarefa difícil. APIs não são diferentes.

Nós acreditamos que a educação e conscientização são fatores chave para escrever software seguro. Tudo o que é necessário para alcançar este objetivo depende de estabelecer e usar procedimentos de segurança reprodutíveis e padronizar controles de segurança.

O OWASP possui um grande número de fontes abertas para endereçar a segurança desde o princípio dos projetos. Por favor, visite a página de projetos do OWASP para uma extensa lista de projetos disponíveis.
Educação Você pode iniciar lendo os materiais de educação do OWASP de acordo com sua área ou interesse. Para aprendizado mão-na-massa, nós adicionamos crAPI - Completely Ridiculous API (API Ridiculamente Vulnerável) em nosso roadmap. Enquanto isso, você pode praticar segurança de aplicações web utilizando o OWASP DevSlop Pixi Module, um aplicativo web vulnerável e um serviço API com a intenção de ensinar usuário como testar aplicações web modernas e também APIs com relação a problemas de segurança. Você pode também participar das conferências AppSec do OWASP com sessões de treinamento, ou ainda juntar-se a seu capítulo local.
Requisitos de Segurança Segurança deve fazer parte de qualquer projeto desde o princípio. Ao fazer a escolha de requisitos, é importante definir o que a "segurança" representa para o projeto. O OWASP recomenda o uso do OWASP Application Security Verification Standard (ASVS) como um guia para atribuir requisitos de segurança. Se você trabalha com outsourcing, considere o projeto OWASP Secure Software Contract Annex, o qual deve ser adaptado de acordo com as leis e regulamentos locais.
Arquitetura de Segurança Seguraça deve permanecer uma preocupação durante todas as fases de um projeto. O OWASP Prevention Cheat Sheets é um bom ponto de partida e um guia sobre como o design de segurança durante a fase de arquitetura. Junto de vários outros, você encontrará REST Security Cheat Sheet e também REST Assessment Cheat Sheet com abordagem de aspetos de APIs.
Controle de Segurança Padrão A adoção de padrões de controles de segurança reduzem o risco da introdução de fraquezas durante o desenvolvimento da lógica específica do negócio no software. Fora o fato que frameworks modernos incluírem por padrão controles de segurança efetivos, considere o OWASP Proactive Controls que entrega uma boa visão geral sobre quais controles de segurança você deve avaliar e incluir em seu projeto. O OWASP também entrega algumas bibliotecas e ferramentas que podem ser úteis, como validação de controles.
Ciclo de Vida do Software Seguro Você pode utilizar o OWASP Software Assurance Maturity Model (SAMM) para melhorar seu processo enquanto constrói APIs. Muitos outros projetos do OWASP possuem valor para ajudá-lo com as diferentes fases do desenvolvimento de suas API, por ex.: o OWASP Code Review Project.