Ir para o conteúdo principal

[VISAON] Análise para remoção de security hotspot

Spike

realizar estudo sobre análise para remoção de segurity hotspot no VisaOn.

Objetivo

  • Entender como hotspots são criados;
  • Listar os tipos de hotspots existentes no VisaOn;
  • Levantar quantas histórias, com sua complexidade, serão necessárias para resolver o problema;

Criação dos hotspots

Um Security Hotspot destaca um código sensível à segurança que o desenvolvedor precisa rever. Após a revisão, você verá se não há ameaça ou precisa aplicar uma correção para proteger o código.

Arquivos com hostpots

 Classificados por dificuldade média e baixa, o VisaOn, existem...

de dificuldade média:

  • 6 hospots que podem causar negação de serviço por conta de regex sendo utilizado em tempo de execução;
  • 2 hospots sobre injeção dinâmica de código que precisa ser verificado se é realmente seguro, já que é criado em tempo de execução super linear;
  • 7 hospots que acusam criptografia fraca por vários arquivos estarem utilizando um gerador de número aleatório que não aparenta ser seguro;

de dificuldade baixa:

  • 2 hospots de criptografia de dados confidenciais já que alguns arquivos fazem requisições para apis externas que não utilizam https;
  • 15 hospots relacionados a atributos de tags html e também sobre integridade de recursos.

Entre os hotspots citados, os mais preocupantes são aqueles sobre criptografia fraca e a criptografia de dados confidenciais, tendo em vista que são ações que podem interferir diretamente em como os dados são salvos no banco de dados. Com isso é recomendado iniciar as análises por esses dois tipos de hotspot.

Histórias necessárias

Segundo o Sonar, atualmente existem 32 avisos de security hotspot. Levando em conta a experiência do time em relação à correções de segurança semelhantes a essa, essas são as histórias necessárias:

Título Pontuação
Remoção de hotspot de dificuldade média 3
Remoção de hotspot de dificuldade baixa 2

 

 

 

Gerente de desenvolvimento
Janderson de Castro Thomaz

Product owner
Gabriel Fernandes de Oliveira

Scrum master
Edson Masami Hirasaka

Time de desenvolvimento
Turing

Membros do time

Ariel Veras Da Silva, João Vitor Paulino Nobre, Milton Daniel Yama, Paulo Indre Barbosa Ferreira Santos

 

Elaborado em 07 de fevereiro de 2022.