Оффлайн
- Регистрация
- 1 Мар 2015
- Сообщения
- 1,481
- Баллы
- 155
A fase de implantação é onde a aplicação é preparada para entrar em produção. No SSDLC, esse estágio não se trata apenas de garantir que todos os controles de segurança definidos nas etapas anteriores sejam implementados e validados antes da liberação para os usuários finais.
Deploy seguro: Garantir que o processo de deploy siga práticas seguras, como a proteção de pipelines de CI/CD e a implementação de controles de acesso ao ambiente de produção.
Checklist de segurança: Uma checklist de segurança antes do deploy, incluindo a validação de configurações e testes finais.
Exemplo: Antes de colocar a versão online, a equipe verifica:
Se variáveis sensíveis (como JWT_SECRET, DATABASE_URL) estão setadas via ambiente seguro.
Se todas as APIs de professoras têm o controle correto de permissões, impedindo que acessem dados pessoais.
Se os headers HTTP como Content-Security-Policy, Strict-Transport-Security e X-Content-Type-Options estão configurados.
Se os tokens JWT expiram corretamente após 30minutos de inatividade, conforme os requisitos de segurança.
Pentest - Profissional que realiza análises detalhadas e avançadas de segurança.
Exemplo: Um pentester interno simula um ataque como se fosse uma professora tentando acessar dados pessoais de alunas via requisição direta: GET /alunas/456/dados-pessoais
Mesmo autenticada como professora, ele consegue visualizar dados como CPF e endereço - o que indica uma falha de autorização não detectada pelos testes automatizados.
Após o pentest, a equipe corrige a lógica de verificação de permissões no backend.
Deploy seguro: Garantir que o processo de deploy siga práticas seguras, como a proteção de pipelines de CI/CD e a implementação de controles de acesso ao ambiente de produção.
Checklist de segurança: Uma checklist de segurança antes do deploy, incluindo a validação de configurações e testes finais.
Exemplo: Antes de colocar a versão online, a equipe verifica:
Se variáveis sensíveis (como JWT_SECRET, DATABASE_URL) estão setadas via ambiente seguro.
Se todas as APIs de professoras têm o controle correto de permissões, impedindo que acessem dados pessoais.
Se os headers HTTP como Content-Security-Policy, Strict-Transport-Security e X-Content-Type-Options estão configurados.
Se os tokens JWT expiram corretamente após 30minutos de inatividade, conforme os requisitos de segurança.
Pentest - Profissional que realiza análises detalhadas e avançadas de segurança.
Exemplo: Um pentester interno simula um ataque como se fosse uma professora tentando acessar dados pessoais de alunas via requisição direta: GET /alunas/456/dados-pessoais
Mesmo autenticada como professora, ele consegue visualizar dados como CPF e endereço - o que indica uma falha de autorização não detectada pelos testes automatizados.
Após o pentest, a equipe corrige a lógica de verificação de permissões no backend.