Skip to content

Diário de Bordo – Ana Carolina Fialho

Disciplina: Gerência de Configuração e Evolução de Software
Equipe: OWASP (Time Blue) Comunidade/Projeto de Software Livre: OWASP (ej-application)

Sprint 2 – [23/09 até 07/10]

Resumo da Sprint

Implementação da ferramenta Gitleaks para detecção de segredos no projeto EJ. Configuração de pipeline CI/CD e análise de segurança com identificação de 17 problemas críticos.

Atividades Realizadas

Data Atividade Tipo Link/Referência Status
05/10 Estudo sobre CI/CD e GitLab CI Estudo https://docs.gitlab.com/ee/ci/ Concluído
05/10 Pesquisa e seleção do Gitleaks Estudo https://github.com/gitleaks/gitleaks Concluído
06/10 Configuração do fork do projeto Código https://gitlab.com/caroll_mf/ej-application Concluído
07/10 Testes locais do Gitleaks Teste - Concluído

Breve resumo da ferramenta escolhida

Gitleaks - Scanner de segredos de código aberto que detecta automaticamente credenciais expostas em repositórios Git, como API keys, tokens e senhas.

Link: https://github.com/gitleaks/gitleaks

Implementação Gitleaks

Pipeline Status

Resultados Gitleaks

Resultados de scanner da ferramenta

Análise do Gitleaks:

  • 17 segredos detectados em 4 arquivos diferentes
  • Riscos identificados: Crítico (1), Alto (2), Médio (14)
  • Principais problemas: Slack Webhook, tokens de deploy GitLab, JWT tokens
  • Arquivo mais afetado: src/ej_users/tests/test_api.py

Maiores Avanços

  • Implementação bem-sucedida do Gitleaks com detecção de problemas reais de segurança
  • Configuração de pipeline CI/CD teoricamente funcional
  • Análise profissional de segurança via IA com relatório detalhado
  • Aprendizado sobre DevSecOps e scan automatizado de segredos

Maiores Dificuldades

  • Pipeline CI/CD não executou no GitLab devido a problemas de configuração da plataforma
  • Debug complexo de problemas com GitLab runners e configurações
  • Dificuldade em fazer o GitLab reconhecer o arquivo .gitlab-ci.yml corretamente

Aprendizados

  • Funcionamento e importância do scan contínuo de segredos em projetos
  • Configuração e uso de ferramentas de segurança como Gitleaks
  • Classificação de riscos de segurança (crítico, alto, médio, baixo)

Plano Pessoal para a Próxima Sprint

  • Resolver o problema do GitLab CI/CD que travou minha pipeline

  • Testar o Bandit pra complementar o Gitleaks na segurança do código

  • Usar pip-audit pra ver se as dependências do EJ têm vulnerabilidades

  • Criar etapa de segurança completa no pipeline - SAST + SCA juntos