Elaboramos algumas dicas para aqueles que usam bibliotecas, SDK, ferramentas de desenvolvimento e outros componentes de software criados por terceiros e desejam integrar essas ferramentas, mantendo o controle de seus desenvolvimentos.
Faça uma escolha informada
– Avalie se é interesse adicionar cada uma das dependências. Alguns bricks de software normalmente usados têm apenas poucas linhas. No entanto, cada elemento adicionado aumentará a superfície de ataque ao sistema. Se uma única biblioteca oferece várias funcionalidades, integre apenas aquelas que são realmente necessárias. Isso porque ao ativar um número mínimo de funcionalidades, o risco de possíveis bugs se reduz.
– Se escolher softwares, bibliotecas e ferramentas de desenvolvimento (SDK) de código aberto (open source), procure optar por projetos ou as soluções com uma comunidade ativa, atualizações regulares e boa documentação. Já se escolher usar outros tipos de soluções com suporte comercial, inclua no contrato a garantia de que o código será mantido e atualizado durante toda a vida útil do seu projeto.
Veja também: Blog Solere: Dicas para aumentar a segurança digital da sua empresa
– Leve em conta a questão da vida privada. Alguns SDK ou bibliotecas são remunerados pela avaliação dos dados coletados pelo aplicativo ou sites aos quais estão integrados. Certifique-se que esses terceiros respeitem a legislação em vigor sobre a proteção de dados pessoais, e especialmente, que esteja previsto um mecanismo para coletar o consentimento dos usuários.
– Caso utilize mecanismo de criptografia, não implemente algoritmos ou protocolos criptográficos por conta própria. Em vez disso, procure escolher bibliotecas criptográficas mantidas, reconhecidas e de fácil utilização.
Avalie os elementos escolhidos
– Leia a documentação e altere a configuração padrão. É importante conhecer o funcionamento de suas dependências. As bibliotecas e SDK de terceiros são normalmente fornecidas com arquivos de configuração padrão que são raramente modificados devida a falta de tempo, o que causa inúmeras vulnerabilidades de segurança.
– Faça auditorias das bibliotecas e SDK. Essa auditoria permitirá determinar as obrigações a serem respeitadas em termos de proteção de dados pessoais e estabelecer a responsabilidade dos atores.
Veja também: Blog Solere: Quais são as regras básicas de segurança virtual para empresas?
– Mapeie suas dependências. As bibliotecas e SDK de terceiros podem também integrar outros componentes: a auditoria do código permitirá mapear melhor todas as suas dependências e de agir melhor caso um problema com alguma delas. Também é recomendável fazer auditorias de segurança dos componentes de terceiros e monitorá-los.
– Cuidados com tentativas de typosquatting e outras técnicas maliciosas. Verifique os nomes de domínio, bem como os próprios domínios para evitar ataques. Não copie e cole linhas de comando de sites desconhecidos.
Mantenha as bibliotecas e SDK
– Utilize sistema de gestão de dependências, como yum, apt, maven, pip e etc, a fim de manter uma lista atualizada de suas dependências.
Veja também: Blog Solere: Dicas para elaborar projetos de TI de acordo com a LGPD
– Gerencie atualizações para as dependências, especialmente nos casos de atualizações de segurança que corrigem vulnerabilidades. Implemente um procedimento documentado para gerenciar e desenvolvê-los o mais rápido possível.
– Esteja atento ao final do suporte das versões de bibliotecas e de SDK que não serão mais mantidos. Tente encontrar outra solução (escolha uma nova biblioteca ou renove o suporte comercial).
– Monitore o status dos projetos de código aberto (open source), especialmente a mudança de proprietário do domínio ou do pacote e certos ataques utilizando atualizações maliciosas de dependências populares.
Em conclusão, este texto procura tratar sobre boas práticas de segurança na hora de escolher ferramentas de desenvolvimento para aplicativos ou sites. Este artigo é uma iniciativa do Solere – Data Protection Compliance para esclarecer diversos temas relacionados à dados pessoais e a proteção deles. Somos especializados em direito empresarial e somos certificados Data Protection Officer (DPO) pelo Bureau Veritas. Conheça nossos serviços e veja como podemos ajudar a sua empresa se adequar à LGPD e não sofrer penalidades.
Imagem: Unsplash