Diário de Bordo – Ana Carolina Madeira Fialho
Disciplina: Gestão de Configuração e Evolução de Software Equipe: OWASP (Blue Team) Projeto/Comunidade de Software Livre: OWASP (ej-application)
Sprint 3 – 22/10/2025 a 19/11/2025
Resumo da Sprint
Nesta sprint, deixamos a fase de planejamento e passamos efetivamente para a implementação das atividades. O principal objetivo foi configurar o ambiente de CI/CD no GitLab para que as verificações de segurança fossem executadas automaticamente a cada push, por meio de um novo estágio chamado security_scan. Nesse estágio foram integradas quatro ferramentas: Gitleaks, Semgrep, pip-audit e Trivy.
O time se organizou em dois grupos: um focado em gerar e interpretar os relatórios produzidos pelas ferramentas, e outro dedicado a incorporar essas verificações na pipeline, testar tudo localmente e documentar o funcionamento e os resultados obtidos. Participei dessa segunda frente.
Atividades Realizadas
| Data | Atividade | Tipo | Link/Referência | Status |
|---|---|---|---|---|
| 05/11 | Alinhamento e definição das tarefas da sprint | Discussão | - | Concluído |
| 07/11 | Execução local das ferramentas (no meu caso, Trivy e pip-audit) e ajustes na pipeline do repositório | Código | - | Concluído |
| 07/11 | Criação e configuração do estágio security_scan no arquivo .gitlab-ci.yml |
Código | - | Concluído |
| 10/11 | Integração dos jobs de segurança (Gitleaks, Semgrep, pip-audit, Trivy) na pipeline | Código | - | Concluído |
| 12/11 | Entrega dos relatórios individuais para o grupo que ficou responsável pela documentação final | Outro | - | Concluído |
| 19/11 | Complemento da documentação geral da equipe e produção do diário de bordo | Doc | - | Concluído |
Maiores Avanços
- Execução e entendimento prático das ferramentas Trivy e pip-audit, analisando como elas interpretam o projeto da EJ e quais vulnerabilidades reportam.
- Ajustes diretos no pipeline utilizando o fork compartilhado, em conjunto com Sebastián e Daniel.
- Revisão detalhada dos resultados das scans, relacionando cada alerta ao contexto do repositório.
Maiores Dificuldades
- Configurar e rodar corretamente as ferramentas localmente, adaptando-as à estrutura específica do projeto EJ.
- Compreender e classificar as vulnerabilidades sinalizadas por cada ferramenta, já que cada uma adota abordagens diferentes.
Aprendizados
- Automatizar as verificações de segurança na pipeline aumenta significativamente a chance de detectar problemas antes que eles cheguem ao ambiente principal.
- O histórico do Git também deve ser auditado — não apenas o código mais recente — especialmente em casos relacionados a exposição de credenciais.
- O Trivy se destacou por cobrir áreas além do código-fonte, como infraestrutura e configurações, reforçando a ideia de segurança distribuída por todo o ciclo do software.
Plano Pessoal para a Próxima Sprint
- [ ] Trabalhar na mitigação das vulnerabilidades apontadas (segredos expostos, dependências inseguras e melhorias no Dockerfile).
- [ ] Ativar políticas de segurança no GitLab, como proteção de branches e exigência de aprovação após scans.
- [ ] Ajustar o pipeline para falhar automaticamente quando forem detectadas vulnerabilidades críticas ou segredos.
- [ ] Iniciar a criação de um guia interno de boas práticas (padrões de commit, PRs, uso correto de secrets e recomendações gerais).