Diário de Bordo – Guilherme Peixoto Lima
Disciplina: Gerência de Configuração e Evolução de Software Equipe: OWASP (Time Blue) Comunidade/Projeto de Software Livre: OWASP (ej-application)
Sprint 2 – 23/09 até 07/10
Resumo da Sprint
Implementação da ferramenta Gitleaks para detecção de segredos no projeto EJ e configuração da pipeline CI/CD.
Atividades Realizadas
| Data | Atividade | Tipo | Link/Referência | Status |
|---|---|---|---|---|
| 08/10 | Estudo sobre CI/CD e GitLab CI | Estudo | GitHub CI/CD Guide | Concluído |
| 08/10 | Pesquisa e seleção do Python Bandit | Estudo | Bandit Documentation | Concluído |
| 08/10 | Configuração do fork do projeto | Código | Fork no GitLab | Concluído |
Integração do Bandit na Pipeline
Para detecção de vulnerabilidades, foi utilizada a ferramenta Python Bandit, projetada para identificar problemas de segurança comuns em códigos Python. Ela analisa cada arquivo, realiza varreduras e gera relatórios detalhados.
Trecho do .gitlab-ci.yml:
security_scan:
stage: security
image:
name: python:3.9.19-slim-bookworm
pull_policy: if-not-present
before_script:
- pip install bandit==1.7.5
script:
- bandit -r . -lll
allow_failure: true
tags:
- k8s
Resultado da Execução
Run started: 2025-10-08 06:45:08.988398
Test results:
>> Issue: [B701:jinja2_autoescape_false]
By default, jinja2 sets autoescape to False. Consider using autoescape=True or select_autoescape to mitigate XSS vulnerabilities.
Severity: High | Confidence: High
CWE: CWE-94
Location: ./src/ej_integrations/mailing.py:60:14
(Outras ocorrências omitidas para brevidade, mas seguem o mesmo formato.)
Resultados do Scanner da Ferramenta
Análise do Bandit:
| Métrica | Valor |
|---|---|
| Total de linhas de código | 383.421 |
Linhas ignoradas (#nosec) |
0 |
| Issues por severidade: | |
| • Low | 3.554 |
| • Medium | 64 |
| • High | 22 |
| Issues por confiança: | |
| • Low | 3 |
| • Medium | 62 |
| • High | 3.575 |
Maiores Avanços
- Configuração de uma pipeline CI/CD
- Aprendizado sobre etapas de segurança no processo de integração contínua
Maiores Dificuldades
- Teste da pipeline CI em ambiente local
Plano Pessoal para a Próxima Sprint
- Resolver o problema do GitLab CI/CD que travou a pipeline
- Testar o Gitleaks para complementar a análise de segurança do código