Categoria

Segurança, Privacidade e Compliance

Segurança em pipelines de CI/CD: protegendo segredos e artefatos
Segurança, Privacidade e Compliance

Segurança em pipelines de CI/CD: protegendo segredos e artefatos

Pipelines de CI/CD (Integração Contínua e Entrega Contínua) são o coração da automação moderna de software. Eles compilam, testam, empacotam e implantam código automaticamente. Por concentrarem acesso a repositórios, credenciais de produção e artefatos finais, tornam-se alvos prioritários para atacantes. Um pipeline comprometido pode resultar em vazamento de dados sensíveis, injeção de backdoors em artefatos ou implantação de código malicioso em produção.

14/02/2025
OWASP Top 10 em 2025: o que mudou e como se proteger
Segurança, Privacidade e Compliance 20/01/2025

OWASP Top 10 em 2025: o que mudou e como se proteger

O OWASP Top 10 continua sendo a referência mais importante para segurança de aplicações web, e a edição de 2025 traz mudanças significativas em relação às versões anteriores. Desde 2017, quando o foco estava em injeção e autenticação quebrada, passando pela reorganização de 2021 que introduziu "Falhas Criptográficas" e "Design Inseguro", a nova edição reflete as transformações tecnológicas dos últimos anos.

Offboarding: garantindo segurança ao sair de um projeto
Segurança, Privacidade e Compliance 13/12/2024

Offboarding: garantindo segurança ao sair de um projeto

O processo de offboarding — desligamento de um colaborador de um projeto ou organização — é frequentemente negligenciado em comparação ao onboarding. No entanto, ele representa uma das maiores vulnerabilidades de segurança em empresas de tecnologia. Quando um membro da equipe sai sem que seus acessos sejam completamente revogados, os riscos incluem vazamento de dados sensíveis, uso indevido de credenciais ativas e acesso a repositórios privados por pessoas não autorizadas.

Como configurar HTTPS local com Caddy em projetos de desenvolvimento
Segurança, Privacidade e Compliance 11/11/2024

Como configurar HTTPS local com Caddy em projetos de desenvolvimento

Desenvolver com HTTPS local não é apenas um luxo — é uma necessidade técnica. Ambientes de produção modernos exigem conexões seguras, e replicar isso localmente evita surpresas desagradáveis. A diferença entre HTTP e HTTPS no ambiente local vai além do cadeado verde no navegador: cookies com flag Secure, Service Workers, geolocalização e notificações push simplesmente não funcionam em HTTP.

Segurança web: as 10 vulnerabilidades mais críticas da OWASP
Segurança, Privacidade e Compliance 05/11/2024

Segurança web: as 10 vulnerabilidades mais críticas da OWASP

O OWASP Top 10 é um documento de conscientização publicado pela Open Web Application Security Project (OWASP) que representa um consenso global sobre os riscos de segurança mais críticos para aplicações web. Desde sua primeira edição em 2003, a lista evoluiu para refletir as mudanças no cenário de ameaças, incorporando novas categorias de vulnerabilidades conforme as tecnologias e técnicas de ataque se desenvolvem.

Como aplicar princípios de zero trust em segurança
Segurança, Privacidade e Compliance 27/09/2024

Como aplicar princípios de zero trust em segurança

O modelo Zero Trust parte de uma premissa radicalmente simples: nunca confie, sempre verifique. Diferente do modelo tradicional de segurança baseado em perímetro de rede — onde tudo dentro da rede corporativa era considerado confiável — o Zero Trust elimina qualquer confiança implícita, independentemente da localização do usuário ou dispositivo.

Como proteger dados sensíveis de usuários finais
Segurança, Privacidade e Compliance 06/09/2024

Como proteger dados sensíveis de usuários finais

A proteção de dados sensíveis de usuários finais tornou-se uma responsabilidade crítica para qualquer organização que coleta, processa ou armazena informações pessoais. Com regulamentações como LGPD, GDPR e CCPA impondo penalidades severas para vazamentos, é essencial implementar uma estratégia abrangente de segurança. Este artigo aborda as principais técnicas e práticas para proteger dados sensíveis, com exemplos práticos de implementação.

Content Security Policy (CSP): configurando proteção real contra XSS
Segurança, Privacidade e Compliance 19/08/2024

Content Security Policy (CSP): configurando proteção real contra XSS

A Content Security Policy (CSP) é uma camada de segurança que permite aos desenvolvedores web controlar quais recursos podem ser carregados e executados em suas páginas. Diferente de abordagens tradicionais baseadas em blocklist (que tentam bloquear padrões conhecidos de ataque), a CSP opera com whitelist: você define explicitamente o que é permitido, e tudo o mais é automaticamente bloqueado pelo navegador.

Como auditar dependências com npm audit, pip-audit e equivalentes
Segurança, Privacidade e Compliance 17/07/2024

Como auditar dependências com npm audit, pip-audit e equivalentes

O ecossistema moderno de desenvolvimento é construído sobre uma vasta cadeia de suprimentos (supply chain) de pacotes de terceiros. Um projeto típico pode depender de centenas de bibliotecas diretas e milhares de dependências transitivas. Cada uma dessas peças representa um ponto de entrada potencial para vulnerabilidades.

Boas práticas de segurança para ambientes de desenvolvimento local
Segurança, Privacidade e Compliance 16/07/2024

Boas práticas de segurança para ambientes de desenvolvimento local

O isolamento é a primeira linha de defesa contra contaminação cruzada entre projetos e o sistema operacional host. Containers Docker ou Podman oferecem ambientes efêmeros que eliminam resíduos após o uso. Para gerenciar versões de linguagens, ferramentas como asdf, nvm e pyenv evitam conflitos globais: