Design e Implementação

Uma vez que as necessidades de segurança e os riscos tenham sido identificados, a segurança da aplicação web pode definir precisamente quais mecanismos assegurarão que as metas de segurança serão alcançadas em resposta às ameaças, como autenticação, controles de acesso, proteção contra ataques de injeção de comandos, etc.

Um documento deve descrever em detalhes estes mecanismos de proteção, que devem ser desenhados de acordo com o princípio de “defesa em profundidade”, em que a primeira linha de defesa que falhar ou for atacada é substituída por uma segunda linha, ou mesmo por uma terceira.

Passando pelo desenho da aplicação e mapeamento de necessidades de segurança e de riscos, chegamos então à fase de implementação, em que os desenvolvedores geram os códigos de interface e integram objetos que a compõem.

É imperativo que todos aqueles envolvidos na fase de implementação sejam treinados ou ao menos devidamente suportados por especialistas em desenvolvimento de aplicações seguras. Adicionalmente, algumas ferramentas devem ser dadas a equipe de trabalho:

Documento de referência contendo as melhores práticas para desenvolvimento de aplicações seguras.
Um check-list para assegurar que nada foi negligenciado ou esquecido durante o ciclo de desenvolvimento;
Um framework de segurança para evitar que a recriação de mecanismos básicos de segurança internos ou externos acabem produzindo vulnerabilidades ou códigos maliciosos.

Também durante esta fase, a equipe de desenvolvimento pode consultar especialistas para validar os mecanismos de segurança que foram desenvolvidos. Podem também consultar as referências do OWASP Guide Project para orientar-se sobre a construção segura de aplicações e web services.

Muitas destas referências se fazem constar nos relatórios de avaliação de segurança obtidos após a execução dos testes de vulnerabilidades do Sistema RedeSegura.