Skip to content

Diário de Bordo – Ana Carolina Fialho

Disciplina: Gestão de Configuração e Evolução de Software

Equipe: OWASP (Time Blue)

Comunidade/Projeto de Software Livre: OWASP (ej-application)

Sprint 0 – 03/09 até 09/09

Resumo da Sprint

Configuração do ambiente de desenvolvimento local, estudo da infraestrutura do projeto e análise detalhada das práticas de GCES adotadas pela equipe do EJ Platform.

Atividades Realizadas

Data Atividade Tipo (Código/Doc/Discussão/Outro) Link/Referência Status
03/09 Entendimento inicial do projeto (Docs) Estudo EJ Docs Concluído
05/09 Organização pessoal com cronograma do mentor Organização Concluído
08/09 Configuração do ambiente com Docker e Invoke. Estudo Concluído
09/09 Documentação dos processos para o relatório da sprint. Docs Concluído

Maiores Avanços

O maior avanço foi conseguir rodar o projeto EJ localmente, o que permitiu ter uma visão prática de como a aplicação funciona na prática e como sua arquitetura está estruturada. Esse passo foi essencial para abrir caminho para os próximos estudos e ataques simulados previstos pelo cronograma do mentor.

Fork (@caroll_mf): Meu Fork fo EJ Application

Maiores Dificuldades

Houveram dificuldades em subir o ambiente em relação a criação do Fork.

Aprendizados

Um marco significativo foi a implementação bem-sucedida do projeto EJ em máquina local, o que proporcionou um entendimento concreto da dinâmica e da estrutura da aplicação.

Plano Pessoal para a Próxima Sprint

Na próxima sprint, o objetivo é mudar o foco da exploração para a defesa e a garantia de qualidade:

  • Auditoria de Configuração de Segurança: Verificar as configurações de ambiente (arquivos .env, docker-compose.yml) em busca de valores padrão inseguros, credenciais expostas ou permissões excessivas.

  • Análise de Dependências (dependency-check): Executar ferramentas de análise (como OWASP Dependency-Check ou npm audit) para listar as bibliotecas de terceiros utilizadas e identificar dependências desatualizadas ou com vulnerabilidades conhecidas (CVEs).

  • Estudo dos Mecanismos de Defesa Existentes: Entender como a aplicação implementa proteções comuns contra OWASP.

  • Revisar o histórico de commits recentes para identificar correções de segurança já aplicadas pela comunidade.