[VISAON] Análise para remoção de security hotspot
Spike
realizar estudo sobre análise para remoção de segurity hotspot no VisaOnVisaOn.
Objetivo
- Entender como hotspots são criados;
- Listar os tipos de hotspots existentes no VisaOn;
- Levantar quantas histórias, com sua complexidade, serão necessárias para resolver o problema;
Criação dos hotspots
Um Security Hotspot destaca um código sensível à segurança que o desenvolvedor precisa rever. Após a revisão, você verá se não há ameaça ou precisa aplicar uma correção para proteger o código.
Arquivos com hostpots
No VisaOn, existem hospots...
- que podem causar negação de serviço por conta de regex sendo utilizado em tempo de execução;
- sobre injeção dinâmica de código que precisa ser verificado se é realmente seguro, já que é criado em tempo de execução super linear;
- que acusam criptografia fraca por vários arquivos estarem utilizando um gerador de número aleatório que não aparenta ser seguro;
- de criptografia de dados confidenciais já que alguns arquivos fazem requisições para apis externas que não utilizam https;
- relacionados a atributos de tags html e também sobre integridade de recursos.
Histórias necessárias
Segundo o Sonar, atualmente existem 32 avisos de security hotspot que estão classificados por dificuldade, média e baixa. Levando em conta a experiência do time em relação à correções de segurança semelhantes a essa, essas são as histórias necessárias:
| Título | Pontuação |
| Remoção de hotspot de dificuldade média | 3 |
| Remoção de hotspot de dificuldade baixa | 2 |
Gerente de desenvolvimento
Janderson de Castro Thomaz
Product owner
Gabriel Fernandes de Oliveira
Scrum master
Edson Masami Hirasaka
Time de desenvolvimento
Turing
Membros do time
Ariel Veras Da Silva, João Vitor Paulino Nobre, Milton Daniel Yama, Paulo Indre Barbosa Ferreira Santos
Elaborado em 07 de fevereiro de 2022.