Sign in or sign up before continuing. Don't have an account yet? Register now to get started.

[Security/GCES] Identificação e Correção de Vulnerabilidades de Injeção de Código (XSS) e Criptografia Fraca.

📋 Lista de Tarefas - Correção de Vulnerabilidades de Segurança

✅ Vulnerabilidades Corrigidas

Vulnerabilidade 1: XSS via Jinja2

☑️ Identificar uso inadequado do Jinja2 sem autoescape
☑️ Adicionar autoescape=True no Environment do Jinja2
☑️ Aplicar correção em src/ej_integrations/mailing.py:60
☑️ Validar que dados de usuários são escapados automaticamente

Vulnerabilidade 2: Uso de MD5

☑️ Identificar uso de MD5 sem indicação de propósito
☑️ Adicionar parâmetro usedforsecurity=False
☑️ Aplicar correção em src/ej_profiles/models.py:326
☑️ Documentar que MD5 é usado apenas para Gravatar

Validação com Bandit

☑️ Executar nova varredura com Bandit nos arquivos corrigidos
☑️ Confirmar ausência de vulnerabilidades críticas

📋 Tarefas Pendentes

Integração e Automação

☐ Integrar Bandit ao pipeline de CI/CD
☐ Configurar execução automática com: bandit -r . -lll -f json
☐ Definir threshold de falha no pipeline (bloquear em severidade alta)
☐ Configurar notificações automáticas para a equipe

Revisão de Código

☐ Solicitar revisão de @zlimaz
☐ Solicitar revisão de @caroll_mf
☐ Solicitar revisão de @DanRocha18
☐ Solicitar revisão de @sebazac332
☐ Solicitar revisão de @BrenoLUCO
☐ Solicitar revisão de @MarcusVcd
☐ Aprovar e mergear após todas as revisões

Documentação

☐ Documentar as correções no changelog do projeto
☐ Atualizar guia de segurança do desenvolvedor
☐ Criar documento de boas práticas para Jinja2
☐ Adicionar comentários no código explicando as escolhas de segurança

Monitoramento Contínuo

☐ Agendar revisões de segurança trimestrais
☐ Criar calendário de execução manual do Bandit
☐ Definir responsáveis por cada revisão trimestral
☐ Estabelecer processo de triagem de vulnerabilidades

Melhorias Futuras

☐ Revisar outros usos de Jinja2 no projeto
☐ Verificar outros algoritmos criptográficos no código
☐ Considerar adicionar outras ferramentas de análise estática (pylint, flake8-security)
☐ Implementar Content Security Policy (CSP) nos templates HTML
☐ Avaliar implementação de SAST adicional (SonarQube, Snyk)

⚠️ Níveis de Prioridade

🔴 Prioridade Alta: Integração ao CI/CD e revisões de código
🟡 Prioridade Média: Documentação
🟢 Prioridade Baixa: Melhorias futuras

Edited Dec 03, 2025 by Guizin Peix