Ir para o conteúdo

O Que Se Segue Para Programadores

A tarefa de criar e manter aplicações seguras, ou corrigir aplicações existentes, pode ser difícil. Não é diferente para as APIs.

Acreditamos que educação e consciencialização são fatores chave para o desenvolvimento de software seguro. Tudo o mais necessário para alcançar este objetivo depende da definição e utilização de processos de segurança reprodutíveis e do uso de controlos de segurança standard.

A OWASP disponibiliza uma grande quantidade de recursos gratuitos e abertos para abordar a segurança. Por favor visite a página dos projetos OWASP para consulta da lista dos projetos existentes.
Educação O Application Security Wayfinder deve oferecer uma boa ideia sobre quais projetos estão disponíveis para cada etapa/fase do Ciclo de Vida do Desenvolvimento de Software (SDLC). Para aprendizagem prática/treino, pode começar com OWASP crAPI - Completely Ridiculous API ou OWASP Juice Shop: ambos possuem APIs intencionalmente vulneráveis. O OWASP Vulnerable Web Applications Directory Project fornece uma lista curada de aplicações intencionalmente vulneráveis: lá encontrará várias outras APIs vulneráveis. Também pode participar em sessões de treino da OWASP AppSec Conference ou juntar-se ao seu chapter local.
Requisitos de Segurança A segurança deve fazer parte de qualquer projeto desde o início. É importante que, durante a fase de identificação de requisitos, seja definido o que é que “seguro” significa no contexto desse projeto. A OWASP recomenda a utilização do OWASP Application Security Verification Standard (ASVS) como guia para definir os requisitos de segurança. Se estiver a subcontratar, considere ao invés a utilização do OWASP Secure Software Contract Annex, o qual deverá adaptar às leis e regulamentações locais.
Arquitetura de Segurança A segurança deve ser uma preocupação durante todas as fases dum projeto. O projeto OWASP Prevention Cheat Sheets é um bom ponto inicial de orientação sobre como contemplar a segurança durante a fase de arquitetura. Entre outros, o REST Security Cheat Sheet e o REST Assessment Cheat Sheet serão seguramente relevantes, como também o GraphQL Cheat Sheet.
Controlos Standard de Segurança A adoção de controlos standard de segurança reduzem o risco de introdução de falhas de segurança durante a implementação da lógica de negócio. Apesar de muitas frameworks modernas já incluírem controlos standard, o projeto OWASP Proactive Controls dá-lhe uma boa visão sobre que controlos de segurança deve incluir no seu projeto. A OWASP também disponibiliza algumas bibliotecas e ferramentas que pode achar úteis, tais como controlos de validação.
Ciclo de Desenvolvimento de Software Seguro Pode usar o OWASP Software Assurance Maturity Model (SAMM) para melhorar o processo de desenvolvimento de APIs. Tem ainda disponíveis vários outros projetos OWASP para o ajudar durante as várias fases de desenvolvimento de APIs, por exemplo o OWASP Code Review Guide.