Diário de Bordo – Miguel Arthur
Disciplina: Gestão de Configuração e Evolução de Software
Equipe: OWASP (Blue Team)
Comunidade/Projeto de Software Livre: OWASP (ej-application)
Sprint 3 – [07/09 até 22/10]
Resumo da Sprint
O foco desta sprint foi a pesquisa aprofundada, comparação e seleção estratégica do "arsenal" de ferramentas de segurança para o pipeline de CI/CD. A equipe avaliou diversas opções open-source em quatro categorias (Detecção de Segredos, SAST, SCA e IaC). O principal resultado foi a criação de um documento comparativo e a decisão final sobre o conjunto de ferramentas que formará a base da nossa estratégia de DevSecOps.
Atividades Realizadas
| Data | Atividade | Tipo (Código/Doc/Discussão/Outro) | Link/Referência | Status |
|---|---|---|---|---|
| 10/10 | Planejamento da sprint e divisão das categorias de pesquisa de ferramentas | Discussão | - | Concluído |
| 15/10 | Pesquisa e análise comparativa das ferramentas de segurança (SAST, SCA, etc.) | Estudo/Doc | Link | Concluído |
| 17/10 | Consolidação da pesquisa da equipe e elaboração da proposta do "arsenal" final | Doc | Link | Concluído |
| 22/10 | Apresentação e aprovação do conjunto de ferramentas para a próxima fase | Discussão | - | Concluído |
Maiores Avanços
- Criação de um documento comparativo detalhado, que serviu como base sólida para a tomada de decisão sobre as ferramentas de segurança.
- Definição do "arsenal de segurança" oficial do Blue Team (Gitleaks, Semgrep, pip-audit, Trivy), alinhado às necessidades do projeto.
- Estabelecimento de um plano de implementação claro para as próximas sprints, baseado nas ferramentas escolhidas.
Maiores Dificuldades
- Diferenciar o valor prático entre ferramentas com propósitos similares, exigindo uma análise aprofundada além da documentação superficial.
- Sintetizar as pesquisas individuais de toda a equipe em uma decisão de conjunto coesa e bem justificada.
Aprendizados
- Compreensão do conceito de "defesa em camadas", onde cada ferramenta de segurança cobre um vetor de ataque diferente.
- A escolha de uma ferramenta de segurança deve ser baseada no contexto do projeto (linguagem, framework) e não apenas em sua popularidade.
- A importância de uma pesquisa estruturada (usando a tabela) para tomar decisões de engenharia mais objetivas e fundamentadas.
Plano Pessoal para a Próxima Sprint
- [ ] Liderar a criação do ambiente (fork) para a implementação do pipeline de segurança.
- [ ] Coordenar a equipe na integração da primeira ferramenta (Gitleaks) no
.gitlab-ci.yml. - [ ] Iniciar a documentação oficial da estrutura do pipeline.