Os principais acertos e erros no desenvolvimento seguro de software

Nova8 Security Research Team
novembro 11, 2021
Notícias

Se os termos Code Review, PenTest, automatização e criptografia de chave não estão no vocabulário de desenvolvimento de software de algum profissional ou empresa, é porque está na hora de atualizá-lo. É aí que a segurança de pessoas e de empresas entra em jogo.

E quais seriam os principais acertos e erros nesta área?

Os Principais Acertos:

Fazer o Peer Review e/ou Code Review

O Peer Review (ou Revisão por Pares) e o Code Review (Revisão de Código) são processos de checagem que auxiliam na detecção de erros do software. Funciona assim: um especialista comita o código (efetiva alterações), mas este não vai direto ao Branch Main (onde o software funciona). Antes, vai para um profissional que revisa o código e só depois autoriza o commit. A diferença é que o Peer Review é feito por um colega analista e o Code Review é feito por um especialista sênior (por exemplo, um arquiteto de software ou um desenvolvedor sênior).

Ter criptografia em disco

Essa tecnologia permite que as informações do software não possam ser decifradas por pessoas não autorizadas ao utilizar códigos criptografados.

Ter criptografia no banco de dados

O disco salva o arquivo do banco de dados, passando informações abertas a este. Um hacker pode tentar acessar essas informações tanto pelo disco quanto pelo banco de dados. Daí a importância de também ter dados criptografados aqui.

Utilizar softwares automatizados

São programas que monitoram o sistema constantemente à procura de brechas e falhas nos códigos, oferecendo um banco de dados de todas as vulnerabilidades descobertas e atualizações. Uma dica é o Snyk, que é open source (código aberto).

Fazer o PenTest anual

O PenTest (Penetration Test, ou “Teste de Penetração”) é um teste para testar a segurança e a vulnerabilidade de softwares, redes e infraestruturas. Resumindo, é a contratação de um serviço consensual de hackers, que tentam invadir o sistema e fazem um relatório detalhado das brechas, além de apontar as soluções.

Os Principais Erros:

Não limitar tentativas de senha

O software deve exigir uma senha forte do usuário e limitar as tentativas temporalmente (por exemplo, na décima tentativa, contatar o administrador).

Usar criptografia desatualizada

É importante utilizar criptografia homologada por órgãos competentes e atualizada. Por exemplo, é aconselhado não utilizar a criptografia MD5, que tem falhas e é insegura.

Deixar a chave da criptografia junto à aplicação

Fazer isso é um risco, porque um hacker pode invadir a aplicação, descobrir a chave da criptografia e acessar todas as informações. Como solução, é possível, por exemplo, criptografar a própria chave da criptografia.

Fonte: AB Notícia News

ataque hacker, desenvolvimento de software, gestão de segurança

Mantenha-se à frente das ameaças cibernéticas

Explore nossos materiais ricos em insights como e-books, whitepapers, artigos e conteúdos do blog para saber tudo sobre as tendências de cibersegurança.

abril 15, 2026
DevSecOps

Novidades da Checkmarx: Mythos, Glasswing e AI Supply Chain Security

Entenda como as novidades da Checkmarx mudam o AppSec com IA híbrida, AI Supply Chain Security e mais governança no SDLC.

abril 9, 2026
Cequence

AI Experience: o que o encontro da Nova8 Cybersecurity, Cequence e CISO’s Club mostrou sobre governança de IA e segurança de APIs

O AI Experience mostrou como a IA já habilita negócios, mas exige governança, guardrails e segurança de APIs. Veja os principais insights do evento.

março 30, 2026
Upwind

RSAC 2026: o que realmente importou no maior evento de cibersegurança do mundo

Veja os principais insights do RSAC 2026, com destaque para o papel da IA, o posicionamento de mercado e os aprendizados estratégicos observados pela Nova8 Cybersecurity.

Checkmarx

Cequence

Snyk

IRONSCALES

Upwind

CORO

Inviciti

VAD

Centro de Excelência Nova8 em Cibersegurança

Consultoria Nova8 em Cibersegurança