A Open Web Application Security Project (OWASP) é uma entidade sem fins lucrativos que reúne profissionais voluntários de segurança de aplicações ao redor do mundo, com o intuito de produzir material para a construção de software mais seguro. Um dos principais trabalhos da entidade é o guia OWASP Top 10, que é publicado a partir de dados estatísticos de diversas organizações que atuam na indústria.
Como exemplo, cita-se a falha categorizada como Al- Injeção: as falhas de injeção, tais como injeção de SQL, de Sistema Operacional (SO) e de LDAP, ocorrem quando dados não confiáveis são enviado para um interpretador como parte de um comando ou uma consulta. Os dados manipulados pelo atacante podem iludir o interpretador para que ele execute comandos indesejados ou permita acesso a dados não autorizados.
Disponível em: <https://www.owasp.org/images/9/9c/OWASP_Top_10_2013_PT-BR.pdf>. Acesso em: 7 abr. 2016, com adaptações.
Acerca dos conceitos relacionados ao desenvolvimento seguro de aplicações, assinale a alternativa correta.
A responsabilidade de desenvolver aplicações seguras é dos desenvolvedores. Dessa forma, com treinamento adequado, todos os desenvolvedores podem encontrar vulnerabilidades no código e, assim, criar código seguro e resiliente.
Para que um software seja considerado seguro, é suficiente que possua certa resiliência, ou seja, que, ao ser intencionalmente forçado a falhar por agentes mal-intencionados, ele possa retornar ao seu estado inicial sem realizar operações não planejadas.
A fase de requisitos de software é de pouca ou nenhuma importância para a construção de software seguro, já que se concentra nos requisitos funcionais e não funcionais da aplicação. A responsabilidade de manter a segurança do software é do time de segurança da informação.
A aplicação de criptografia na informação gerenciada pela aplicação e o uso do SSL/TLS para a proteção da comunicação são suficientes para manter as aplicações web protegidas. Com essas medidas de proteção, ataques a aplicações como os descritos em guias como o OWASP Top 10 tornam-se secundários.
Um ciclo de desenvolvimento de software seguro é aquele em que atividades de segurança são aplicadas ao longo das etapas de requisitos, projeto, codificação, testes, operação e descarte. Essas atividades podem incluir revisão de segurança no projeto de arquitetura da aplicação e no respectivo código fonte, além de testes com foco em segurança, realizados pela equipe de garantia da qualidade.