Olá! Boas-vindas ao curso de Padrões de Verificação de Segurança em Aplicações, conhecido em inglês como Application Security Verification Standard (ASVS).
Já nos perguntamos, em algum momento de nossa carreira ou durante o desenvolvimento de um projeto de software, se o nível de segurança da aplicação estava adequado ao propósito do negócio. Essa é uma dúvida comum entre profissionais, sejam eles da área de desenvolvimento, analistas de teste, arquitetos de software ou qualquer outro papel dentro do processo de desenvolvimento, sobre se a aplicação possui um nível de segurança adequado ao propósito. É justamente nesse ponto que o ASVS se destaca, sendo um dos padrões de mercado mais utilizados para a verificação de requisitos de segurança em aplicações.
Meu nome é Rafael Matos, sou um dos instrutores da Alura e irei acompanhar vocês durante este curso de ASVS.
Audiodescrição: Rafael é um homem pardo, com cabelos pretos e barba preta. Ele está em um ambiente com uma parede branca e, atrás dele, há uma mobília com objetos decorativos.
Durante este curso, vamos aprender sobre o propósito, objetivo e benefícios do ASVS para profissionais que atuam no desenvolvimento de aplicações. Abordaremos como esses profissionais podem utilizar o ASVS em sua rotina de trabalho.
Neste treinamento, vamos ensinar como diferenciar o ASVS de outros guias e padrões de verificação de segurança em aplicações, além de como eles podem atuar em conjunto para melhorar o nível de maturidade em segurança de aplicações.
Outro ponto abordado será a seleção do nível de verificação do ASVS, ou seja, como escolher o nível adequado para a aplicação de acordo com seu nível de criticidade para o negócio.
Também discutiremos como aplicar os requisitos do ASVS para especificar controles de segurança em diferentes áreas da segurança da informação, como o uso de criptografia, autenticação, autorização e configurações seguras, entre outras informações relevantes.
Além disso, abordaremos como utilizar o ASVS para planejar e executar testes de segurança, não apenas na execução em si, mas também na utilização do padrão de verificação de segurança para revisões de código-fonte, ampliando o nível de maturidade de segurança das aplicações.
Convidamos todas as pessoas envolvidas no processo de desenvolvimento de aplicações a participar deste treinamento e aproveitar o padrão ASVS, que é um dos mais utilizados no mercado para definir requisitos de verificação de segurança em aplicações.
Nesta primeira aula do treinamento de ASVS, faremos uma introdução ao ASVS. O que é o ASVS? Antes de responder diretamente a essa pergunta, vamos refletir sobre um cenário. Imagine que uma empresa na qual atuamos como profissionais de segurança de aplicações precisa contratar uma aplicação de terceiros para suportar um importante processo de negócio. Para decidir sobre a contratação dessa aplicação, a empresa precisa ter certeza de que a solução atende a requisitos adequados de segurança e nos solicita a realização de uma avaliação de segurança dessa aplicação.
Nesse momento, podem surgir algumas dúvidas para o profissional de segurança de aplicações. Por onde começar o trabalho de avaliação? O que devemos avaliar na aplicação? Qual o escopo de avaliação a ser realizado? Se esquecermos de algo importante nesse processo de avaliação, quais serão as consequências para o resultado do nosso trabalho? E como dar credibilidade à avaliação realizada?
Essas perguntas e outras podem ser respondidas por meio da utilização do ASVS. Como um framework de verificação de segurança de aplicações, ele nos fornece um conjunto de requisitos de segurança que podem ser verificados. ASVS é um acrônimo para Application Security Verification Standard (Padrão de Verificação de Segurança de Aplicações). Ele é voltado para a verificação de segurança em aplicações web e serviços web, mas não se limita a isso, podendo ser utilizado para outros escopos além da verificação apenas de aplicações de terceiros.
Para que serve o ASVS? Como mencionado, ele pode ser utilizado como uma ferramenta para verificação de segurança na contratação ou aquisição de software seguro. Também pode orientar a criação de testes de segurança e servir como referência para a codificação segura. Além disso, pode ser utilizado na construção de um guia de desenvolvimento seguro, que pode ser uma fonte de referência para pessoas desenvolvedoras na construção de aplicações mais seguras.
O ASVS pode servir como base e referência para a construção de guias de arquitetura de segurança, sendo utilizado por profissionais arquitetos para padronizar requisitos de segurança de aplicações dentro de uma empresa. Além disso, pode ser utilizado como referência para a construção de treinamentos de desenvolvimento seguro.
A estrutura do ASVS é composta por 17 capítulos, cada um abordando um tema específico dentro da segurança de aplicações. Por exemplo, a criptografia é um dos capítulos, assim como autenticação e autorização, entre outros temas importantes. Ao todo, são 350 requisitos de segurança presentes no ASVS, distribuídos nos capítulos e subsecções. Esses requisitos podem ter diferentes níveis de aplicação, de acordo com o nível de criticidade da aplicação que está sendo avaliada no momento. Mais detalhes sobre os níveis, capítulos e requisitos serão abordados mais à frente no treinamento.
De forma resumida, o ASVS é um framework que nos ajuda a definir requisitos de segurança desde o design até a entrega da aplicação. Ele auxilia na criação de produtos mais confiáveis e resilientes, confiáveis do ponto de vista dos controles de segurança presentes na aplicação e resilientes no sentido de serem produtos de software capazes de, mesmo em situações de ataque ou tentativas de exploração, continuarem entregando suas funcionalidades para as quais foram desenvolvidos.
O ASVS ajuda organizações a tomar decisões baseadas em risco, permitindo que, com o uso do framework para verificação de segurança de aplicações, seja possível comparar diferentes aplicações ou a mesma aplicação em diferentes momentos no tempo. Isso possibilita que a empresa evolua suas aplicações ou decida pela contratação de aplicações mais seguras.
Nas próximas aulas, teremos mais detalhamentos sobre cada um desses pontos abordados nesta aula introdutória.
Olá, na primeira aula do nosso treinamento, nós vimos uma introdução ao ASVS. Nesta segunda aula, veremos os propósitos e objetivos do ASVS e como ele pode ser utilizado como um padrão para testar defesas de aplicações.
Antes de começarmos a abordar o assunto diretamente, gostaríamos de propor uma reflexão e levantar o seguinte cenário: vamos imaginar que estamos atuando em uma empresa como profissionais de segurança de aplicação. Essa empresa precisa contratar uma aplicação para dar suporte a um importante processo de negócio. Em paralelo, outro colega, também profissional de segurança de aplicação, estará avaliando uma aplicação B, que também poderá ser utilizada para dar suporte ao mesmo processo de negócio.
A ideia da empresa, nesse momento, é que dois profissionais diferentes estejam atuando na verificação de duas soluções distintas, mas que poderão ser utilizadas para suportar o mesmo processo de negócio. A intenção de paralelizar o trabalho é ganhar agilidade nesse processo de avaliação.
Podem surgir alguns questionamentos e dúvidas sobre como comparar as avaliações dessas duas aplicações, realizadas por dois diferentes profissionais de segurança de aplicação, trabalhando de forma totalmente paralela, e como manter a coerência entre as avaliações realizadas por cada um desses profissionais. A resposta para isso reside na utilização de um padrão.
Sem um padrão e requisitos de segurança bem definidos, seria difícil para dois profissionais, trabalhando em paralelo, seguirem os mesmos padrões de verificação. Isso tornaria complicado realizar comparações e manter coerência entre os níveis de maturidade de segurança de duas aplicações que estão sendo comparadas. O objetivo é identificar o nível de maturidade de cada uma e decidir qual solução possui o nível adequado de segurança para suportar o processo de negócio para o qual está sendo contratada.
De forma objetiva, os propósitos e objetivos do ASVS (Application Security Verification Standard) são fornecer uma base confiável e padronizada de requisitos de segurança. Isso permite que diferentes profissionais, em momentos distintos, gerem resultados de avaliação padronizados e comparáveis. O padrão de segurança deve aferir a robustez dos controles de segurança das aplicações avaliadas e promover o desenvolvimento seguro desde a concepção da aplicação. Além disso, estabelece uma linguagem comum entre os profissionais envolvidos nos processos de desenvolvimento e em outros processos de segurança de aplicações.
O ASVS também serve como critério para a contratação ou auditoria de aplicações, definindo um roteiro bem estruturado de critérios a serem verificados nesses processos. Em resumo, o ASVS é um padrão técnico para testar as defesas de aplicações, ou seja, os controles de segurança presentes em uma aplicação. Isso garante que a aplicação tenha os controles adequados e possa se comportar de forma segura e resiliente em um ambiente produtivo, suportando eventuais ataques.
Ao mesmo tempo, o padrão precisa permitir que a segurança seja mensurável, auditável e replicável, para que a empresa possa construir um ciclo de maturidade de segurança de aplicações.
O curso ASVS: Padronizando a segurança em aplicações possui 255 minutos de vídeos, em um total de 74 atividades. Gostou? Conheça nossos outros cursos de Segurança em DevOps, ou leia nossos artigos de DevOps.
Matricule-se e comece a estudar com a gente hoje! Conheça outros tópicos abordados durante o curso:
Impulsione a sua carreira com os melhores cursos e faça parte da maior comunidade tech.
2 anos de Alura
Matricule-se no plano PLUS 24 e garanta:
Jornada de estudos progressiva que te guia desde os fundamentos até a atuação prática. Você acompanha sua evolução, entende os próximos passos e se aprofunda nos conteúdos com quem é referência no mercado.
Mobile, Programação, Front-end, DevOps, UX & Design, Marketing Digital, Data Science, Inovação & Gestão, Inteligência Artificial
Formações com mais de 1500 cursos atualizados e novos lançamentos semanais, em Programação, Inteligência Artificial, Front-end, UX & Design, Data Science, Mobile, DevOps e Inovação & Gestão.
A cada curso ou formação concluído, um novo certificado para turbinar seu currículo e LinkedIn.
No Discord, você participa de eventos exclusivos, pode tirar dúvidas em estudos colaborativos e ainda conta com mentorias em grupo com especialistas de diversas áreas.
Faça parte da maior comunidade Dev do país e crie conexões com mais de 120 mil pessoas no Discord.
Acesso ilimitado ao catálogo de Imersões da Alura para praticar conhecimentos em diferentes áreas.
Explore um universo de possibilidades na palma da sua mão. Baixe as aulas para assistir offline, onde e quando quiser.
Acelere o seu aprendizado com a IA da Alura e prepare-se para o mercado internacional.
2 anos de Alura
Todos os benefícios do PLUS 24 e mais vantagens exclusivas:
Luri é nossa inteligência artificial que tira dúvidas, dá exemplos práticos, corrige exercícios e ajuda a mergulhar ainda mais durante as aulas. Você pode conversar com a Luri até 100 mensagens por semana.
Aprenda um novo idioma e expanda seus horizontes profissionais. Cursos de Inglês, Espanhol e Inglês para Devs, 100% focado em tecnologia.
Para estudantes ultra comprometidos atingirem seu objetivo mais rápido.
2 anos de Alura
Todos os benefícios do PRO 24 e mais vantagens exclusivas:
Mensagens ilimitadas para estudar com a Luri, a IA da Alura, disponível 24hs para tirar suas dúvidas, dar exemplos práticos, corrigir exercícios e impulsionar seus estudos.
Envie imagens para a Luri e ela te ajuda a solucionar problemas, identificar erros, esclarecer gráficos, analisar design e muito mais.
Escolha os ebooks da Casa do Código, a editora da Alura, que apoiarão a sua jornada de aprendizado para sempre.
Conecte-se ao mercado com mentoria individual personalizada, vagas exclusivas e networking estratégico que impulsionam sua carreira tech para o próximo nível.
