Categoria

Segurança, Privacidade e Compliance

Como usar o Snyk para monitoramento contínuo de vulnerabilidades
Segurança, Privacidade e Compliance 04/05/2024

Como usar o Snyk para monitoramento contínuo de vulnerabilidades

O Snyk é uma plataforma de segurança nativa para desenvolvedores que permite identificar, priorizar e corrigir vulnerabilidades em dependências de software, containers e infraestrutura como código. Diferentemente de varreduras pontuais (que ocorrem apenas em momentos específicos, como antes de um release), o monitoramento contínuo oferecido pelo Snyk verifica constantemente seus projetos contra bancos de dados de vulnerabilidades atualizados em tempo real.

Hashing de senhas: por que MD5 e SHA1 estão mortos (use Argon2)
Segurança, Privacidade e Compliance 18/04/2024

Hashing de senhas: por que MD5 e SHA1 estão mortos (use Argon2)

Durante anos, MD5 e SHA1 foram considerados padrões aceitáveis para proteger senhas. Hoje, sabemos que essa confiança era uma ilusão perigosa. O principal problema é a velocidade: esses algoritmos foram projetados para serem rápidos em hardware comum, o que os torna perfeitos para verificar integridade de arquivos, mas terríveis para hashing de senhas.

Subresource Integrity (SRI): verificando integridade de assets externos
Segurança, Privacidade e Compliance 09/02/2024

Subresource Integrity (SRI): verificando integridade de assets externos

O Subresource Integrity (SRI) é um mecanismo de segurança do navegador que permite verificar se um recurso externo (como uma biblioteca JavaScript ou folha de estilo CSS) foi carregado sem modificações maliciosas. Surgiu como resposta aos crescentes ataques à cadeia de suprimentos (supply chain attacks), onde invasores comprometem CDNs ou repositórios públicos para injetar código malicioso em bibliotecas amplamente utilizadas.

LGPD para desenvolvedores: implementando privacidade no código
Segurança, Privacidade e Compliance 16/01/2024

LGPD para desenvolvedores: implementando privacidade no código

A Lei Geral de Proteção de Dados (LGPD) estabelece que a privacidade deve ser incorporada desde a concepção dos sistemas. Para desenvolvedores, isso significa traduzir princípios legais em decisões técnicas concretas.

Boas práticas de segurança em uploads e processamento de arquivos
Segurança, Privacidade e Compliance 13/01/2024

Boas práticas de segurança em uploads e processamento de arquivos

A funcionalidade de upload de arquivos é uma das portas de entrada mais exploradas por atacantes em aplicações web. Um sistema mal configurado pode permitir desde a execução remota de código até ataques de negação de serviço. Este artigo apresenta as principais práticas para garantir a segurança no upload e processamento de arquivos, abordando desde a validação inicial até a entrega segura ao cliente.

Como configurar HTTPS local com mkcert
Segurança, Privacidade e Compliance 12/01/2024

Como configurar HTTPS local com mkcert

No desenvolvimento web moderno, HTTPS deixou de ser opcional para se tornar obrigatório, mesmo em ambientes locais. Enquanto HTTP transmite dados em texto puro, HTTPS utiliza criptografia TLS/SSL para proteger a comunicação entre cliente e servidor. Essa diferença se torna crítica quando você precisa testar funcionalidades que dependem de conexões seguras.

Introdução ao SPIFFE e SPIRE para identidades de workload em Kubernetes
Segurança, Privacidade e Compliance 13/12/2023

Introdução ao SPIFFE e SPIRE para identidades de workload em Kubernetes

Em ambientes Kubernetes, a autenticação entre serviços enfrenta desafios únicos. Pods são efêmeros — seus nomes mudam a cada reinicialização, endereços IP são atribuídos dinamicamente e a escala horizontal cria dezenas de instâncias idênticas. Modelos tradicionais baseados em IP fixo ou nome de host simplesmente não funcionam. Além disso, gerenciar secrets compartilhados (como tokens ou senhas) em grande escala introduz riscos de vazamento e complexidade operacional.

Estratégias de mitigação de ataques DDoS
Segurança, Privacidade e Compliance 02/12/2023

Estratégias de mitigação de ataques DDoS

Um ataque de Negação de Serviço Distribuído (DDoS) ocorre quando múltiplos sistemas comprometidos são utilizados para sobrecarregar um alvo com tráfego malicioso, tornando seus serviços indisponíveis. A evolução desses ataques é notável: começaram com simples inundações de pacotes ICMP (ping flood) e evoluíram para ataques multi-vetor sofisticados, que combinam volumétricos, de protocolo e de camada de aplicação simultaneamente. Atualmente, ataques como o Mirai botnet utilizam dispositivos IoT p

Como proteger dados em repouso com criptografia de disco e campos
Segurança, Privacidade e Compliance 28/11/2023

Como proteger dados em repouso com criptografia de disco e campos

Dados em repouso referem-se a informações armazenadas em dispositivos físicos ou virtuais que não estão sendo transmitidas ativamente pela rede. Isso inclui arquivos em discos rígidos, bancos de dados, backups em fita, snapshots em nuvem e qualquer outra forma de armazenamento persistente. A proteção desses dados é fundamental porque, ao contrário de dados em trânsito, que podem ser interceptados durante a comunicação, dados em repouso são alvos frequentes de roubo físico de hardware, acesso não