Categoria
Content Security Policy (CSP) é uma camada de segurança que ajuda a detectar e mitigar ataques como Cross-Site Scripting (XSS) e data injection. O modo padrão (Content-Security-Policy) bloqueia recursos que violam a política definida. Já o modo report-only (Content-Security-Policy-Report-Only) não bloqueia nada — ele apenas gera relatórios de violação.
DAST (Dynamic Application Security Testing) é uma técnica de teste de segurança que analisa aplicações em execução, simulando ataques reais contra a interface exposta — normalmente HTTP/HTTPS. Diferente do SAST (Static Application Security Testing), que examina o código-fonte sem executá-lo, o DAST opera como um verdadeiro black-box: o scanner não conhece a estrutura interna, os frameworks utilizados ou as bibliotecas importadas.
Classificação de dados é o processo de categorizar informações com base no seu nível de sensibilidade, valor crítico e requisitos regulatórios. Para desenvolvedores, isso não é apenas um exercício de compliance — é uma decisão arquitetural que impacta diretamente como armazenamos, transmitimos e processamos dados. Quando você sabe que um campo é "confidencial", pode aplicar criptografia automática, restringir acesso em logs e definir políticas de retenção específicas. Sem classificação, cada dad
LGPD (Lei Geral de Proteção de Dados, Brasil) e GDPR (General Data Protection Regulation, União Europeia) são marcos regulatórios que impactam diretamente o desenvolvimento de software. Enquanto a LGPD prevê multas de até 2% do faturamento (limitado a R$ 50 milhões por infração), o GDPR pode aplicar sanções de até €20 milhões ou 4% do faturamento global.
A segurança de containers tradicionalmente foca em duas fases: build (imagens seguras, análise de vulnerabilidades) e deploy (políticas de rede, controle de acesso). No entanto, a fase de runtime — quando o container está efetivamente em execução — é onde ataques reais acontecem. Um container pode iniciar perfeitamente seguro e, minutos depois, ser comprometido por uma vulnerabilidade zero-day ou por uma configuração incorreta.
A segurança na web começa com a Política de Mesma Origem (Same-Origin Policy), um mecanismo fundamental dos navegadores que impede que uma página web acesse recursos de uma origem diferente da sua própria. Por exemplo, um script carregado de https://meusite.com não pode, por padrão, fazer requisições para https://api-outra.com.
Quando um cliente (navegador, aplicativo) se conecta a um servidor web, os dados trafegam por uma série de roteadores e redes intermediárias. Sem proteção, qualquer nó no caminho pode:
Certificate pinning é a prática de fixar (“prender”) a identidade criptográfica de um servidor — seja seu certificado digital ou sua chave pública — diretamente no cliente que realiza a conexão TLS. Em vez de confiar cegamente em toda a cadeia de Autoridades Certificadoras (CAs), o cliente valida que o certificado apresentado corresponde exatamente ao que foi previamente configurado.
Clickjacking, também conhecido como "UI redressing", é uma técnica de ataque onde um invasor sobrepõe uma página web legítima dentro de um iframe transparente, enganando o usuário a clicar em elementos invisíveis. O usuário acredita estar interagindo com a página visível, mas na verdade está clicando em botões, links ou formulários da página alvo oculta.
Artefatos de software não assinados são vulneráveis a ataques de supply chain. Um atacante que comprometa um servidor de build ou um repositório de pacotes pode substituir um binário legítimo por uma versão modificada contendo backdoors, ransomware ou stealers. Sem assinatura digital, o consumidor do artefato não tem como garantir que aquele arquivo veio realmente da fonte original.