Desenvolvimento seguro: utilização da modelagem de ameaças para identificação de vulnerabilidades na fase de design.

Abstract

Este artigo analisa a função da modelagem de ameaças como instrumento estratégico para o desenvolvimento seguro de software, ressaltando sua importância na detecção e mitigação de vulnerabilidades desde as fases iniciais de um projeto. Em meio ao progresso tecnológico e o crescimento dos ataques cibernéticos, assegurar a proteção da informação se tornou essencial para manter a integridade, a confidencialidade e a disponibilidade dos sistemas. Assim, o artigo discorre sobre os conceitos fundamentais de segurança e dos frameworks STRIDE e DREAD, utilizados para organizar e priorizar riscos, além de fornecer um estudo de caso sobre uma falha relevante resultante da falta dessa prática preventiva. O estudo de caso demonstra como falhas não identificadas, como XSS e injeção de SQL, podem comprometer seriamente a segurança de um sistema e mostra que a implementação desses frameworks auxilia na redução de riscos e destaca a importância de integrá-los ao ciclo de desenvolvimento, inclusive em contextos ágeis, contribuindo para a tomada de decisões mais precisas e seguras e promovendo o desenvolvimento de sistemas mais robustos, resilientes e orientados à segurança desde sua concepção.

This article analyzes the role of threat modeling as a strategic tool for secure software development, highlighting its importance in detecting and mitigating vulnerabilities from the early stages of a project. Amid technological progress and the growth of cyberattacks, ensuring information protection has become essential to maintaining the integrity, confidentiality, and availability of systems. Thus, the article discusses the fundamental concepts of security and the STRIDE and DREAD frameworks, used to organize and prioritize risks, in addition to providing a case study of a relevant failure resulting from the lack of this preventive practice. The case study demonstrates how unidentified flaws, such as XSS and SQL injection, can seriously compromise the security of a system and shows that the implementation of these frameworks helps reduce risks and highlights the importance of integrating them into the development cycle, including in agile contexts, contributing to more accurate and secure decision-making and promoting the development of more robust, resilient, and security-oriented systems from their conception.