Ótimo post, meu jovem, obrigado por compartilhar. Li atentamente e acho que é um · clacerda

Ótimo post, meu jovem, obrigado por compartilhar. Li atentamente e acho que é um artigo excelente, com uma boa combinação de conhecimento e acessibilidade, afinal, é um equilíbrio difícil de alcançar, certo?

Gostaria apenas de complementar em dois pontos que o artigo não mencionou, sem tirar nenhum mérito dele e sem criar uma discussão interminável. O primeiro é sobre o preço da segurança contra o preço do que você está protegendo. Todo sistema é quebrável, é apenas uma questão de quanto custa para fazê-lo. Esse custo deve ser mais alto do que o valor o que você está protegendo. Mas para aumentar o custo da quebra, você aumenta o seus custos-fixos e se você não tem nada para proteger em primeiro lugar, não faz sentido gastar dinheiro com isso. É por isso que startups e pequenas empresas muitas vezes não investem muito em segurança, e isso está ok, está certissimo até eu diria. Desde que façam o básico, bem feito!

O princípio da confiança zero é excelente, mas deveria começar ainda mais básico, antes disso tem uma firewall na borda externa da rede, bloqueando e registrando tudo.

Por fim, sobre o OWASP Top 10, realmente é um recurso fantástico, e como você disse sobre educar os desenvolvedores, TODO PROFISSIONAL WEB DEVE conhecer esses pontos e as técnicas para mitigar cada um deles. Parabéns por destacar isso.

Um abraço e bons estudos!

Valeu!

Mas para aumentar o custo da quebra, você aumenta o seus custos-fixos e se você não tem nada para proteger em primeiro lugar, não faz sentido gastar dinheiro com isso.

Empresários já pensam por natureza que segurança é um gasto desnecessário. Logo não teria porque eu dizer "você não precisa investir nisso se...", não é necessário, eles já pensam assim. O artigo é para quem já tomou a decisão de implantar segurança na empresa dele. Não é no teor "preciso de mais segurança na minha empresa?" mas sim no teor: "Eu preciso de mais segurança, como fazer isso?"

O princípio da confiança zero é excelente, mas deveria começar ainda mais básico, antes disso tem uma firewall na borda externa da rede, bloqueando e registrando tudo.

Eu jamais diria para um empresário configurar um firewall, não me parece muito prudente não. Entenda que esse artigo foi escrito para quem vai contratar e não para quem vai ser contratado. Logo não faz sentido falar de detalhes do que deve ser feito mas sim dar uma visão abrangente de times e atividades profissionais.

Veja que esse tipo de coisa está coberta no conteúdo do artigo uma vez que foi falado sobre cloud security e DevSecOps nele.

Além disso se a empresa tem servidores então ela já tem alguém de infra. E se tem alguém de infra, as chances dessa pessoa não saber o que é um firewall e como configurar são nulas em 2023. Talvez fizesse sentido falar disso nos anos 2000 porque, realmente, os profissionais não estavam nem engatinhando na segurança. Ou talvez faça sentido se for um tutorial introdutório de infra, mas esse não é o objetivo do artigo.

Já vi muita empresa com um nível de segurança bem risível e todas elas tinham firewall configurado. Mesmo empresas pequenas.