Diário de Bordo – Miguel Arthur
Disciplina: Gestão de Configuração e Evolução de Software
Equipe: OWASP (Blue Team)
Comunidade/Projeto de Software Livre: OWASP (ej-application)
Sprint 4 – [22/10 até 19/11]
Resumo da Sprint
O foco desta sprint foi a implementação prática do pipeline de segurança no GitLab CI/CD. Após a definição do arsenal de ferramentas na sprint anterior, esta etapa consistiu na criação do estágio security_scan, integração das ferramentas (Gitleaks, Semgrep, pip-audit e Trivy) e execução das primeiras análises automatizadas. A entrega resultou em um pipeline funcional de DevSecOps e em um relatório inicial documentando os achados de segurança encontrados no repositório.
Atividades Realizadas
| Data | Atividade | Tipo (Código/Doc/Discussão/Outro) | Link/Referência | Status |
|---|---|---|---|---|
| 05/11 | Criação do fork e preparação do ambiente para implementação do pipeline | Código | - | Concluído |
| 07/11 | Configuração do novo estágio security_scan no .gitlab-ci.yml |
Código | - | Concluído |
| 08/11 | Integração dos jobs de segurança (Gitleaks, Semgrep, pip-audit, Trivy) na pipeline | Código | - | Concluído |
| 10/11 | Execução dos primeiros scans e análise dos resultados gerados | Estudo/Doc | - | Concluído |
| 12/11 | Consolidação do relatório técnico de implementação e vulnerabilidades | Doc | - | Concluído |
Maiores Avanços
- Implementação completa do pipeline de segurança no GitLab CI/CD.
- Integração funcional das quatro ferramentas principais:
- Gitleaks → detecção de segredos expostos.
- Semgrep → análise estática de código (SAST).
- pip-audit → análise de dependências (SCA).
- Trivy → varredura de dependências, filesystem e IaC.
- Geração do primeiro relatório técnico consolidado com achados reais do repositório.
- Identificação de segredos expostos no histórico Git, configurando prioridade imediata de correção.
- Estabelecimento de um pipeline automatizado que executa segurança a cada push e merge request.
Maiores Dificuldades
- Necessidade de interpretar corretamente outputs extensos das ferramentas (especialmente Trivy e Semgrep).
- Tratamento de segredos expostos no histórico Git, exigindo validação técnica e definição de ações de remediação.
- Ajustes finos no
.gitlab-ci.ymlpara garantir que todos os jobs rodassem de forma sequencial e sem conflito com estágios existentes.
Aprendizados
- A automação de segurança no CI/CD reduz significativamente o risco de falhas passarem despercebidas.
- A análise do histórico Git é tão importante quanto a análise do código atual — principalmente no caso de segredos.
- O Trivy se mostrou essencial para cobrir áreas além do código, como IaC e configurações, reforçando o conceito de segurança em múltiplas camadas.
- Um pipeline de DevSecOps exige melhorias contínuas — esta sprint representou a base, não o fim do processo.
- A integração prática das ferramentas permitiu compreender como cada uma complementa a outra dentro do fluxo de segurança.
Plano Pessoal para a Próxima Sprint
- [ ] Auxiliar na correção das vulnerabilidades identificadas (segredos expostos, dependências vulneráveis, ajustes no Dockerfile).
- [ ] Implementar políticas de segurança no GitLab (Ex.: proteção de branches, aprovação obrigatória após scans).
- [ ] Refinar o pipeline com condições de bloqueio (failing pipeline quando encontrar CVEs críticas ou segredos).
- [ ] Iniciar documentação de boas práticas para o repositório (padrões de commits, PRs e configuração de secrets).