Avaliação técnica de vulnerabilidades no código do Skala

Data de elaboração	18/08/2021
Responsável pelo estudo	José Lucas da Silva Costa
Equipe do estudo
Alvo	Sistema Skala
Origem	Falhas de segurança
Objetivo	Avaliar falhas de segurança no sistema Skala
Documentação Correlata	Documentação Técnica: https://hermes-api.dev.local/swagger/
Observações	Sem observações.

1. Glossário de Termos

~~SID~~ ~~- Sistema Integrado de Descanso.~~

2. Introdução

Inicialmente o SID (Sistema Integrado de Descanso) é o sistema responsável pelo controle de férias do Poder Executivo Estadual, atualmente o Portal do Servidor no ato de uma solicitação de férias ou remarcação se comunica com o SID para lançamento de uma solicitação.

3. DesenvolvimentoAnálise/Checklist -na Implementaçprimeira camada (proteção dedas notificação via e-mail e meu acesso no SIDrotas)

3.1 ~~E-mail~~ EquipeController

A notificação por e-mail é em tese possível, foi levantada a hipótese de utilização sistema HERMES que foi criado com a finalidade auxiliar no envio de e-mails. A documentação técnica disponível no endereço eletrônico ~~https://hermes-api.dev.local/swagger/~~ ~~foi analisada pelo time e ficou constatado que a sua utilização é válida e recomendada.~~

3.2 ~~Sistema Meu Acesso~~EscalaController

Devido ao time TITÃS não ser responsável pelo referido sistema, a notificação neste sistema vai necessitar reuniões com o time responsável para sanar dúvidas a respeito da implementação da funcionalidade.

3.3 ~~Possíveis problemas~~HomeController

Após diálogo entre os integrantes do time TITÃS, identificou-se que para o envio de um e-mail ao chefe imediato após uma solicitação de férias ou de remarcação, é necessário passar por uma série de etapas que serão demonstradas no fluxograma a seguir:

~~Fonte: Titãs~~

Consequentemente, o excesso de requisições em outros sistemas pode gerar um custo de processamento alto no sistema, pois o SID não armazena as informações necessárias para obter diretamente o e-mail de uma pessoa.

Outro problema desta implementação é o excesso de e-mails na caixa de entrada dos responsáveis pelas homologações, podendo estes serem considerados spam pelos servidores de e-mail dos destinatários.

3.4 ~~Valor agregado~~MapaController

~~notificaç~~

3.5 PadraoController

3.6 PlantaoController

3.7 RelatorioController

3.8 ServidorController

3.9 ServidorEquipeController

3.10 SolicitaçãooController

~~através~~

~~do e-mail poderá conscientizar os chefes imediatos da novas solicitações, possibilitando a redução das solicitações na situação de "Aguardando Homologação".~~

4. Conclusão

O presente ESTUDO TÉCNICO PRELIMINAR, elaborado pelos integrantes TÉCNICOS do time TITÃS, considerando a análise dos desafios técnicos envolvidos e citados, conclui pela VIABILIDADE DA IMPLEMENTAÇÃO DA NOTIFICAÇÃO DE MODO CRITERIOSO, uma vez que foram considerados os potenciais benefícios em termos de eficiência e também os problemas envolvidos, principalmente potenciais problemas de desempenho da aplicação. Em complemento, os contratempos identificados são administráveis, pelo que RECOMENDAMOS o prosseguimento da demanda. Ressalva-se que o ideal é que a periodicidade de envio dos e-mails seja no máximo diária, para esta atividade recomenda-se a construção de um Job que faça o envio no período desejado.