Se os termos Code Review, PenTest, automatização e criptografia de chave não estão no vocabulário de desenvolvimento de software de algum profissional ou empresa, é porque está na hora de atualizá-lo. É aí que a segurança de pessoas e de empresas entra em jogo.
E quais seriam os principais acertos e erros nesta área?
Os Principais Acertos:
Fazer o Peer Review e/ou Code Review
O Peer Review (ou Revisão por Pares) e o Code Review (Revisão de Código) são processos de checagem que auxiliam na detecção de erros do software. Funciona assim: um especialista comita o código (efetiva alterações), mas este não vai direto ao Branch Main (onde o software funciona). Antes, vai para um profissional que revisa o código e só depois autoriza o commit. A diferença é que o Peer Review é feito por um colega analista e o Code Review é feito por um especialista sênior (por exemplo, um arquiteto de software ou um desenvolvedor sênior).
Ter criptografia em disco
Essa tecnologia permite que as informações do software não possam ser decifradas por pessoas não autorizadas ao utilizar códigos criptografados.
Ter criptografia no banco de dados
O disco salva o arquivo do banco de dados, passando informações abertas a este. Um hacker pode tentar acessar essas informações tanto pelo disco quanto pelo banco de dados. Daí a importância de também ter dados criptografados aqui.
Utilizar softwares automatizados
São programas que monitoram o sistema constantemente à procura de brechas e falhas nos códigos, oferecendo um banco de dados de todas as vulnerabilidades descobertas e atualizações. Uma dica é o Snyk, que é open source (código aberto).
Fazer o PenTest anual
O PenTest (Penetration Test, ou “Teste de Penetração”) é um teste para testar a segurança e a vulnerabilidade de softwares, redes e infraestruturas. Resumindo, é a contratação de um serviço consensual de hackers, que tentam invadir o sistema e fazem um relatório detalhado das brechas, além de apontar as soluções.
Os Principais Erros:
Não limitar tentativas de senha
O software deve exigir uma senha forte do usuário e limitar as tentativas temporalmente (por exemplo, na décima tentativa, contatar o administrador).
Usar criptografia desatualizada
É importante utilizar criptografia homologada por órgãos competentes e atualizada. Por exemplo, é aconselhado não utilizar a criptografia MD5, que tem falhas e é insegura.
Deixar a chave da criptografia junto à aplicação
Fazer isso é um risco, porque um hacker pode invadir a aplicação, descobrir a chave da criptografia e acessar todas as informações. Como solução, é possível, por exemplo, criptografar a própria chave da criptografia.
Fonte: AB Notícia News
