[VISAON] Análise para remoção de security hotspot
Spike
realizar estudo sobre análise para remoção de segurity hotspot no VisaOn
Objetivo
- Entender como hotspots são criados;
- Listar os tipos de hotspots existentes no VisaOn;
- Levantar quantas histórias, com sua complexidade, serão necessárias para resolver o problema;
Criação dos hotspots
Um Security Hotspot destaca um código sensível à segurança que o desenvolvedor precisa rever. Após a revisão, você verá se não há ameaça ou precisa aplicar uma correção para proteger o código.
Arquivos com hostpots
No VisaOn, existem hospots...
- que podem causar negação de serviço por conta de regex sendo utilizado em tempo de execução;
- sobre injeção dinâmica de código que precisa ser verificado se é realmente seguro, já que é criado em tempo de execução super linear;
- que acusam criptografia fraca por vários arquivos estarem utilizando um gerador de número aleatório que não aparenta ser seguro;
- de criptografia de dados confidenciais já que alguns arquivos fazem requisições para apis externas que não utilizam https;
- relacionados a atributos de tags html e também sobre integridade de recursos.
Histórias necessárias
Segundo o Sonar, atualmente existem 32 avisos de security hotspot que estão classificados por dificuldade, média e baixa. Levando em conta a experiência do time em relação à correções de segurança semelhantes a essa, essas são as histórias necessárias:
| Título | Pontuação |
| Remoção de hotspot de dificuldade média | 3 |
| Remoção de hotspot de dificuldade baixa | 2 |
| desenvolvimento Janderson de Castro Thomaz Product owner Scrum master Time de desenvolvimento Membros do time |
Ariel Veras |
| João | Vitor
| Milton | Daniel
| Paulo Indre Barbosa |
Elaborado em 07 de fevereiro de 2022.