Diário de Bordo – Miguel Arthur
Disciplina: Gestão de Configuração e Evolução de Software
Equipe: OWASP (Blue Team)
Comunidade/Projeto de Software Livre: OWASP (ej-application)
Sprint 1 – [23/09 até 07/10]
Resumo da Sprint
- Nesta sprint, o foco principal foi traduzir o conhecimento teórico sobre modelagem de ameaças em um artefato prático e fundamental para a análise de segurança do projeto EJ-Platform. O objetivo central foi a construção de um Diagrama de Fluxo de Dados (DFD) detalhado, com Níveis 0 e 1 e Fronteiras de Confiança bem definidas. Este diagrama serviu como base para realizar o mapeamento inicial de riscos e vulnerabilidades, utilizando o framework STRIDE como guia para categorizar as potenciais ameaças ao sistema.
Atividades Realizadas
| Data | Atividade | Tipo (Código/Doc/Discussão/Outro) | Link/Referência | Status |
|---|---|---|---|---|
| 24/09 | Analise da arquitetura do projeto e definição dos componentes do DFD | Doc | – | Concluído |
| 29/09 | Construção do diagrama de Fluxo de Dados(nivel 0 e 1) | Doc | [link wiki] | Concluído |
| 03/10 | Mapeamento inicial de ameças e riscos com base no DFD utilizando o framework STRIDE | Doc | [link issue] | Concluído |
| 06/10 | Consolidação da documentação da sprint e preenchimento do diário de bordo | Doc | [link issue] | Concluído |
Maiores Avanços
- Criação do Fluxo de Dados(DFD) completo, com niveis 0 e 1 e fronteiras de confiança, que agora serve como a "planta baixa" de segurança do sistema
- Realização do primeiro mapeamento de ameaças do projeto utilizando framework STRIDE, o que permitiu identificar e categorizar os pontos de maior risco em cada fluxo de dados
- Tradução da arquitetura real e atual do projeto em um modelo visual e acionável, que sera a base para as proximas atividades do blue team.
Fork (@zlimaz): Fork do EJ
Maiores Dificuldades
-
A principal dificuldade foi consolidar um entendimento preciso da arquitetura atual do projeto, distinguindo o estado histórico do código de sua versão mais recente na branch develop, o que foi um passo crucial para garantir a precisão do DFD.
-
Traduzir as diversas funcionalidades da aplicação em processos e fluxos de dados macro, sem se perder em micro-fluxos, de forma a manter o diagrama legível e útil para a análise de riscos.
Aprendizados
-
Aplicação prática da metodologia de Diagramas de Fluxo de Dados (DFD) para modelar um sistema real a partir de seu código-fonte e dependências.
-
Uso sistemático do framework STRIDE para categorizar ameaças com base em um DFD, associando cada categoria (Spoofing, Tampering, etc.) a componentes específicos do diagrama.
-
Compreensão da importância de definir Fronteiras de Confiança (Trust Boundaries) para identificar os pontos onde os dados são mais vulneráveis e a validação de segurança é mais crítica.
Plano Pessoal para a Próxima Sprint
- [ ] Definir com mais detalhes a próxima sprint com o grupo
- [ ] Revisar o DFD e a documentação do mesmo depois da entrega
- [ ] A definir