Categoria
Pipelines de CI/CD automatizam a construção, teste e deploy de software. Eles representam o caminho crítico entre o código-fonte e a produção. Por concentrarem acesso a múltiplos sistemas, repositórios e credenciais, tornam-se alvos prioritários para atacantes. Uma única vulnerabilidade no pipeline pode comprometer toda a cadeia de fornecimento de software.
WebSockets diferem fundamentalmente do HTTP tradicional por estabelecerem canais de comunicação bidirecionais e persistentes. Enquanto HTTP segue o modelo requisição-resposta com conexões curtas, WebSockets mantêm uma conexão aberta após o handshake inicial, permitindo tráfego contínuo de dados.
Armazenar senhas em texto puro é um dos erros mais graves que um desenvolvedor pode cometer. Em caso de vazamento do banco de dados, todas as senhas ficam expostas, comprometendo não apenas o sistema atual, mas também outros serviços onde o usuário reutiliza a mesma senha.
Server-Side Request Forgery (SSRF) é uma vulnerabilidade onde um servidor web faz requisições não intencionais para recursos internos ou externos com base em entrada fornecida pelo usuário. O ataque explora a confiança que o servidor tem em si mesmo para acessar sistemas que normalmente seriam inacessíveis ao atacante.
No universo de segurança para desenvolvedores, Red Team e Blue Team representam duas perspectivas complementares. O Red Team simula ataques reais contra sistemas, aplicações e infraestrutura, adotando a mentalidade de um adversário determinado. O Blue Team defende esses mesmos ativos, monitorando, detectando e respondendo a incidentes.
Refresh tokens são credenciais de longa duração utilizadas para obter novos access tokens sem exigir que o usuário se autentique novamente. Enquanto o access token (geralmente um JWT) tem validade curta — de 5 a 15 minutos — o refresh token pode durar dias ou semanas.
Quando um desenvolvedor compila código fonte e obtém um binário, espera-se que esse binário seja uma representação fiel do código. No entanto, variações ambientais mínimas podem produzir artefatos diferentes a partir do mesmo código fonte. Timestamps inseridos automaticamente, caminhos absolutos do diretório de compilação, ordem não determinística de processamento de arquivos e variáveis de ambiente são fontes comuns de não-reprodutibilidade.
Responsible disclosure (divulgação responsável) é um processo estruturado onde pesquisadores de segurança reportam vulnerabilidades descobertas a uma organização, permitindo que ela corrija o problema antes de qualquer divulgação pública. Diferencia-se de:
O direito ao esquecimento, consagrado no artigo 17 do GDPR (Regulamento Geral de Proteção de Dados da União Europeia) e no artigo 18 da LGPD brasileira, garante ao titular dos dados o direito de solicitar a exclusão de suas informações pessoais dos sistemas de um controlador. Este direito não é absoluto: existem exceções como cumprimento de obrigação legal, exercício de defesa em processos judiciais e interesse público.
Proteger uma aplicação apenas durante o desenvolvimento não é mais suficiente. Enquanto ferramentas de SAST (Static Application Security Testing) e SCA (Software Composition Analysis) analisam o código-fonte e dependências em busca de vulnerabilidades conhecidas, elas não conseguem detectar ataques que ocorrem durante a execução da aplicação. É aí que entra a proteção em tempo de execução (runtime protection).