Segundo o documento OWASP Top 10 vulnerabilities de 2021, o
design inseguro é uma categoria ampla que representa diferentes
fraquezas que são expressas como "design de controle ausente ou
ineficaz". O documento destaca que há uma diferença entre design
inseguro e implementação insegura e distingue entre falhas de
design e defeitos de implementação, pois eles têm diferentes
causas e remediações. Um design seguro pode ter defeitos de
implementação que levam a vulnerabilidades que podem ser
exploradas. Um design inseguro não pode ser corrigido por uma
implementação segura, pois, por definição, os controles de
segurança necessários nunca foram criados para se defender
contra ataques específicos. Avalie se as formas de prevenção
contra o design inseguro expressas no OWASP, incluem:
I. Estabelecer e usar um ciclo de vida de desenvolvimento seguro
com profissionais de AppSec para ajudar a avaliar e projetar
controles relacionados à segurança e privacidade e
estabelecer e utilizar uma biblioteca de padrões de projeto
seguros.
II. Escrever testes unitários e de integração para validar se todos
os fluxos críticos são resistentes ao modelo de ameaça e
compilar casos de uso e casos de uso incorreto para cada
camada do aplicativo.
III. Unificar os controles de segurança em histórias de usuários e
restringir verificações de plausibilidade em cada camada do
seu aplicativo (do frontend ao backend) ao time de design e
limitar o consumo de recursos computacionais por usuário ou
serviço.
Está correto o que se afirma em