Correção de Vulnerabilidades

Recebendo um Card de Vulnerabilidade

Todos os cards de vulnerabilidades são criados a partir do Work Item Vulnerability, que é o modelo oficial para Gestão de Vulnerabilidades de código nas aplicações. Estes cards são criados pela equipe de AppSec nos diversos boards dos squads de desenvolvimento, a partir dos reportes de vulnerabilidades enviados pelas equipes de desenvolvimento, análises manuais de código, ferramentas automatizadas e testes de segurança.

Uma vez que um reporte de vulnerabilidade seja triado e considerado valido, a equipe de AppSec identifica o time responsável pelo códio vulnerável e cria em seu board um card para a correção da vulnerabilidade em questão. Um card de vulnerabilidade triada possui a estrutura representada abaixo em seu campo de Descrição, para facilitar o entendimento da vulnerabilidade e como corrigi-la.

A equipe de AppSec detectou uma [tipo de vulnerabilidade] no repositório [nome do repositório]. [link da linha com a vulnerabilidade]

Esse trecho foi considerado vulnerável pois [definição do impacto da vulnerabilidade na aplicação].

Você encontrará alternativas para a correção dessa vulnerabilidade através do Guia de AppSec. O guia de AppSec pode ser acessado pelo seguinte link: [Guia de AppSec]

A equipe de AppSec está disponível para possíveis dúvidas ou auxílio na correção dessa vulnerabilidade.

Como Corrigir uma Vulnerabilidade

Após analisar as informações contidas no card de vulnerabilidade, caso você decida por corrigi-la, você deve atribuir-se ao card na opção de Assign People, desta forma indicando que você é responsável pela correção desta vulnerabilidade. Desta forma, você pode ganhar números da sorte caso a correção seja aprovada e integrada com o código em produção.

Como uma forma de auxiliar na correção das vulnerabilidades identificadas no código das aplicações, o Guia de AppSec oferece descrições detalhadas sobre as principais vulnerabilidades projetadas, assim como, exemplos de correção.

Exemplos de vulnerabilidades e como corrigi-las

Mais informações sobre as vulnerabilidades podem ser acessadas na seção Vulnerabilidades do Guia de AppSec, utilizando o link: Vulnerabilidades

Benefícios da Correção de Vulnerabilidade

Ao concluir o seu trabalho para correção da vulnerabilidade, sua proposta de correção deve ser enviada via Pull Request no repositório contendo o código vulnerável. Com isso, a equipe de AppSec irá avaliar a sua proposta de correção, para garantir que a correção é efetiva em mitigar o impacto da vulnerabilidade na aplicação.

Com a aprovação da proposta de correção e integração dela com a aplicação em produção, você está contribuindo com a elevação do estado de maturidade de segurança das aplicações. Alguns dos benefícios que esta ação produz para você e sua equipe são:

Tornar as nossas aplicações mais seguras e resilientes a ataques

Elevar o valor da nossa entrega, produzindo software mais seguro

Produzir software de maior qualidade

Confere visibilidade para a nossa equipe, como pessoas interessadas na melhoria constante do processo de desenvolvimento

Além destes benefícios, você também pode participar do Programa de Reporte de Vulnerabilidades desta forma, ganhando números da sorte referentes a criticidade da vulnerabilidade corrigida. Estes números da sorte podem ser utilizados para concorrer a diversos prêmios em um dos sorteios trimestrais.

Quantos números da sorte eu posso ganhar por cada vulnerabilidade?

A quantidade de números da sorte respeita a criticidade da vulnerabilidade corrigida, elas podem ser:

• Low - 1 número da sorte
• Medium - 2 números da sorte
• High - 4 números da sorte
• Critical - 8 números da sorte

Como Resolver Dúvidas

A equipe de AppSec está sempre à disposição para sanar qualquer dúvida sobre o programa em si, como utilizar os cards de vulnerabilidades, como corrigir vulnerabilidades e como enviar suas propostas de correção.