Ferramentas e Análise de Segurança

Automatizar a descoberta de falhas é essencial para manter a segurança em um ambiente de desenvolvimento ágil.

---

1. SAST (Static Application Security Testing)

Testes que analisam o código-fonte sem executá-lo. Identificam padrões de código perigosos (ex: uso de eval).

Horusec

Nossa ferramenta principal de SAST. Ela varre o repositório em busca de segredos expostos, vulnerabilidades conhecidas em dependências e falhas de lógica.

ESLint Security Rules

Plugins como eslint-plugin-security ajudam a identificar riscos diretamente na IDE (WebStorm) enquanto escrevemos o código.

---

2. DAST (Dynamic Application Security Testing)

Testes realizados com a aplicação em execução. Eles tentam "atacar" o sistema de fora para dentro, simulando um hacker.

---

3. OWASP Top 10

A OWASP (Open Web Application Security Project) publica regularmente uma lista dos 10 riscos de segurança mais críticos para aplicações web. É a referência mundial para qualquer profissional de segurança.

---

4. Code Scanning em CI/CD

A segurança deve ser parte do pipeline de entrega. Se uma ferramenta de análise detectar uma vulnerabilidade crítica, o build deve falhar e o código não deve chegar em produção.

✅ Como fazer

• Verifique os relatórios do Horusec no pipeline.
• Corrija as vulnerabilidades apontadas antes de solicitar o Review do seu Pull Request.