[VISAON] Análise para remoção de security hotspot

Spike

realizar estudo sobre análise para remoção de segurity hotspot no VisaOn.

Objetivo

• Entender como hotspots são criados;
• Listar os tipos de hotspots existentes no VisaOn;
• Levantar quantas histórias, com sua complexidade, serão necessárias para resolver o problema;

Criação dos hotspots

Um Security Hotspot destaca um código sensível à segurança que o desenvolvedor precisa rever. Após a revisão, você verá se não há ameaça ou precisa aplicar uma correção para proteger o código.

Arquivos com hostpots

  Classificados por dificuldade média e baixa, o VisaOn, existem...

de dificuldade média:

• 6 hospots que podem causar negação de serviço por conta de regex sendo utilizado em tempo de execução;
• 2 hospots sobre injeção dinâmica de código que precisa ser verificado se é realmente seguro, já que é criado em tempo de execução super linear;
• 7 hospots que acusam criptografia fraca por vários arquivos estarem utilizando um gerador de número aleatório que não aparenta ser seguro;

de dificuldade baixa:

• 2 hospots de criptografia de dados confidenciais já que alguns arquivos fazem requisições para apis externas que não utilizam https;
• 15 hospots relacionados a atributos de tags html e também sobre integridade de recursos.

Entre os hotspots citados, os mais preocupantes são aqueles sobre criptografia fraca e a criptografia de dados confidenciais, tendo em vista que são ações que podem interferir diretamente em como os dados são salvos no banco de dados. Com isso é recomendado iniciar as análises por esses dois tipos de hotspot.

Histórias necessárias

Segundo o Sonar, atualmente existem 32 avisos de security hotspot. Levando em conta a experiência do time em relação à correções de segurança semelhantes a essa, essas são as histórias necessárias:

Título	Pontuação
Remoção de hotspot de dificuldade média	3
Remoção de hotspot de dificuldade baixa	2