Secure Code Review

Grupo de estudos e prática focado em revisão segura de código, com o objetivo de formar especialistas em desenvolvimento seguro e análise de vulnerabilidades em código. Fluxo principal da trilha: ler bem a CVE, localizar o patch de correção e estudar os fixes direto no código open source. O CodeQL como ferramenta complemento para explorar fluxo de dados de forma estática, sem precisar executar a aplicação.

Objetivos do grupo:

• Encontrar vulnerabilidades de alto impacto em projetos open source
• Ler CVEs em profundidade e entender os patches de correção
• Gerar conteúdo técnico para a comunidade
• Desenvolver ferramentas relacionadas ao tema

Encontro: toda quinta-feira às 20h00.

Dedicação: 5 horas por semana.

Dinâmica: estudos assíncronos durante a semana e alinhamento na reunião. Cada pessoa relatará seu progresso durante o encontro (de 5 a 10 minutos pra cada). Ritmo semanal: CVE estudada, patch localizado, fix analisado no código e triagem complementar com CodeQL CLI quando necessário.

Ferramentas e plataformas:

• CodeQL CLI
• SARIF Viewer ou SFER
• Git
• SunCVE (já estamos na versão 2, com melhorias)

Conteúdos desta trilha:

• Instalando CodeQL CLI
• Material de apoio