Como entender o software para avaliação de aplicativos?
Sr. Jácomo Bittencourt Neto
• 3 min de leitura
Devido às restrições de tempo associadas ao desenvolvimento de software, a avaliação de segurança do aplicativo pode ficar em segundo plano em relação a questões de desenvolvimento mais urgentes.
Se você for um desenvolvedor de aplicativos, provavelmente já gastou horas e horas criando e revisando o código de seu aplicativo. Embora a arquitetura e o desenvolvimento de software não sejam, de forma alguma, uma tarefa fácil, sempre há certas vulnerabilidades que você deve avaliar para saber se seu aplicativo de software pode passar ou não nos padrões da indústria. Muitos desenvolvedores diriam que essa é uma etapa extra e desnecessária - afinal, o ponto principal é que o aplicativo funciona e foi entregue no prazo, certo? Esta é a forma de pensar tecnicamente errada, pois a cada dia novos riscos de segurança são identificados em empresas em todo o mundo, com consequências surpreendentes. Dito isso, você pode precisar de uma ferramenta para ajudá-lo na avaliação da sua aplicação.
Realizando avaliação de segurança do aplicativo
No entanto, existem certas regras gerais que podem ser seguidas ao realizar a avaliação de segurança do aplicativo.
A avaliação de aplicativos é uma área de segurança de TI intimamente relacionada aos testes de penetração, exceto que você está lidando totalmente apenas com um aplicativo, não com a infraestrutura, o que geralmente é o caso quando se trata de testes de segurança. Em um ambiente de rápida mudança, as ferramentas de avaliação devem ser capazes de se ajustar às funcionalidades específicas do próprio software. No entanto, existem certas regras gerais que podem ser seguidas ao realizar a avaliação de segurança do aplicativo. Esses testes gerais são definidos da seguinte forma:
A validação do aplicativo deve ser inspecionada, além da verificação de limites para verificar se há entrada de código incorreto ou malicioso. O código do lado do cliente deve ser manipulado para ver se pode resistir à penetração. Isso também inclui a configuração da sessão e os arquivos de informação. Você também deve estar ciente da interação entre os diferentes aplicativos no sistema, e se isso pode causar uma violação de segurança. A avaliação do aplicativo também envolve entrar na mente de um hacker e testar todas as oportunidades possíveis para um hacker entrar em seu sistema por meio do referido aplicativo. O log de eventos também deve ser inspecionado, além dos métodos de autenticação que o próprio aplicativo usa.
O consultor de segurança deve ser capaz de avaliar todo e qualquer risco de segurança potencial que o aplicativo possa apresentar, seja ele um aplicativo baseado em cliente ou parte de um sistema em camadas. O consultor já terá uma série de cenários de teste em mente, todos intimamente ligados à função principal do aplicativo no sistema. Os scripts de teste podem ser escritos para ajudar a orientar o consultor de segurança no teste de aplicativo, mas dado o nível de personalização da maioria dos aplicativos hoje em dia, também pode ser bastante eficaz preparar uma lista de verificação geral de perguntas de teste e ver se o aplicativo atende ao mínimo requisitos.
Devido às restrições de tempo associadas ao desenvolvimento de software, a avaliação de segurança do aplicativo pode ficar em segundo plano em relação a questões de desenvolvimento mais urgentes. No entanto, você deve ter em mente que, embora seja capaz de entregar o aplicativo na capacidade funcional certa no momento certo, o aplicativo acabará por ser desconsiderado se o seu cliente achar que o próprio aplicativo pode ser a causa de uma violação de segurança, portanto comprometendo todo o sistema. Se isso acontecer, você não só perderá o aplicativo no sistema, mas também um cliente valioso.
