O Que Se Segue Para Programadores
A tarefa de criar e manter software seguro, ou corrigir software existente, pode ser difícil. O mesmo se verifica em relação às APIs.
Acreditamos que educação e consciencialização são fatores chave para o desenvolvimento de software seguro. Tudo o mais necessário para alcançar este objetivo depende da definição e utilização de processos de segurança reprodutíveis e do uso de controlos de segurança standard.
A OWASP disponibiliza uma grande quantidade de recursos gratuitos e abertos para abordar a segurança desde o início dum projeto. Por favor visite a página dos projetos OWASP para consulta da lista dos projetos existentes.
Educação | Pode começar por ler os conteúdos disponibilizados pelos projetos na categoria OWASP Education de acordo com a sua profissão e interesse. Para uma abordagem mais prática, adicionámos ao nosso plano de trabalho o projeto crAPI - Completely Ridiculous API (API Completamente Ridícula). Enquanto isso, pode praticar segurança de aplicações web usando o Módulo OWASP DevSlop Pixi: uma WebApp e API intencionalmente vulneráveis com o objetivo de ensinar aos utilizadores como testar a segurança de WebApps modernas e APIs e como desenvolver APIs mais seguras. Poderá também participar nas sessões de treino das conferências OWASP AppSec ou juntar-se ao seu grupo OWASP local. |
Requisitos de Segurança | A segurança deve fazer parte de qualquer projeto desde o início. É importante que, durante a fase de identificação de requisitos, seja definido o que é que “seguro” significa no contexto desse projeto. A OWASP recomenda a utilização do OWASP Application Security Verification Standard (ASVS) como guia para definir os requisitos de segurança. Se estiver a subcontratar, considere ao invés a utilização do OWASP Secure Software Contract Annex, o qual deverá adaptar às leis e regulamentações locais. |
Arquitetura de Segurança | A segurança deve ser uma preocupação durante todas as fases dum projeto. O projeto OWASP Prevention Cheat Sheets é um bom ponto inicial de orientação sobre como contemplar a segurança durante a fase de arquitetura. Entre outros, o REST Security Cheat Sheet e o REST Assessment Cheat Sheet serão seguramente relevantes. |
Controlos Standard de Segurança | A adoção de controlos standard de segurança reduzem o risco de introdução de falhas de segurança durante a implementação da lógica de negócio. Apesar de muitas frameworks modernas já incluírem controlos standards, o projeto OWASP Proactive Controls dá-lhe uma visão sobre que controlos de segurança deve incluir no seu projeto. A OWASP também disponibiliza algumas bibliotecas e ferramentas que pode achar úteis, tais como controlos de validação. |
Ciclo de Desenvolvimento de Software Seguro | Pode usar o OWASP Software Assurance Maturity Model (SAMM) para melhorar o processo de desenvolvimento de APIs. Tem ainda disponíveis vários outros projetos OWASP para o ajudar durante as várias fases de desenvolvimento de APIs, por exemplo o OWASP Code Review Project. |