Diário de Bordo – Ana Carolina Fialho
Disciplina: Gestão de Configuração e Evolução de Software
Equipe: OWASP (Time Blue)
Comunidade/Projeto de Software Livre: OWASP (ej-application)
Sprint 1 – 10/09 até 23/09
Resumo da Sprint
Esta sprint foi dedicada ao estudo teórico e preparatório das metodologias Blue Team. O foco foi na base conceitual de segurança defensiva, com estudos sobre modelagem de ameaças, análise de arquitetura segura e familiarização com frameworks de segurança que serão aplicados nas próximas sprints.
Atividades Realizadas
| Data | Atividade | Tipo (Código/Doc/Discussão/Outro) | Link/Referência | Status |
|---|---|---|---|---|
| 19/09 | Estudo teórico e prático sobre SQL Injection | Estudo / Prática | – OWASP SQL Injection | Concluído |
| 19/09 | Estudo teórico e prático sobre Cross-Site Scripting (XSS) e Clickjacking | Estudo / Prática | – OWASP XSS – OWASP Clickjacking |
Concluído |
| 23/09 | Estudo teórico e prático sobre Cross-Site Request Forgery (CSRF) | Estudo / Prática | – OWASP CSRF | Concluído |
| 23/09 | Relatório de Geral/Pessoal de GCES | Docs | – | Concluído |
Maiores Avanços
O principal avanço foi a fundamentação teórica sólida em segurança defensiva, compreendendo a diferença essencial entre a abordagem Blue Team (prevenção, arquitetura, políticas) e Red Team (exploração, teste de invasão). Esta base será crucial para as análises práticas futuras.
Maiores Dificuldades
Manter o foco no aspecto estratégico e arquitetural sem partir prematuramente para a análise técnica prática, que será objeto das próximas sprints.
Aprendizados
Conceitos Chave do Blue Team Estudados:
Modelagem de Ameaças (STRIDE): Metodologia para identificar ameaças em potencial antes da implementação
Security Development Lifecycle (SDL): Integração de segurança em todo o ciclo de desenvolvimento
Controles Compensatórios: Mecanismos de segurança que mitigam riscos residuais
Gestão de Riscos Proativa: Identificação e tratamento de vulnerabilidades antes da exploração
Fremeworks de referência:
OWASP SAMM (Software Assurance Maturity Model)
NIST Cybersecurity Framework
Microsoft Security Development Lifecycle
Plano Pessoal para a Próxima Sprint
Base conceitual estabelecida para iniciar a análise prática da arquitetura do EJ
Compreensão dos componentes críticos a serem avaliados
Metodologia definida para avaliação sistemática de segurança