{"id":58647,"date":"2023-11-10T19:14:36","date_gmt":"2023-11-10T10:14:36","guid":{"rendered":"https:\/\/monolith.law\/pt\/?p=58647"},"modified":"2023-11-26T20:34:24","modified_gmt":"2023-11-26T11:34:24","slug":"risks-of-libraryuse-and-measures","status":"publish","type":"post","link":"https:\/\/monolith.law\/pt\/it\/risks-of-libraryuse-and-measures","title":{"rendered":"Riscos e medidas associados ao uso de bibliotecas na constru\u00e7\u00e3o de sistemas de neg\u00f3cios"},"content":{"rendered":"\n<p>Na era moderna, a constru\u00e7\u00e3o de sistemas de neg\u00f3cios requer um componente do sistema chamado &#8216;biblioteca&#8217;. No entanto, o uso de bibliotecas tamb\u00e9m apresenta riscos. Us\u00e1-las sem considerar os riscos pode provocar problemas e, no pior dos casos, pode at\u00e9 resultar em danos graves, como vazamento de informa\u00e7\u00f5es. Este artigo ir\u00e1 explicar os riscos associados ao uso de bibliotecas e como mitig\u00e1-los.<\/p>\n\n\n\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_53 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/monolith.law\/pt\/it\/risks-of-libraryuse-and-measures\/#O_que_e_uma_biblioteca\" title=\"O que \u00e9 uma biblioteca\">O que \u00e9 uma biblioteca<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/monolith.law\/pt\/it\/risks-of-libraryuse-and-measures\/#Vantagens_da_biblioteca_Rapida_e_segura\" title=\"Vantagens da biblioteca: R\u00e1pida e segura\">Vantagens da biblioteca: R\u00e1pida e segura<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/monolith.law\/pt\/it\/risks-of-libraryuse-and-measures\/#Desvantagens_da_utilizacao_de_bibliotecas\" title=\"Desvantagens da utiliza\u00e7\u00e3o de bibliotecas\">Desvantagens da utiliza\u00e7\u00e3o de bibliotecas<\/a><ul class='ez-toc-list-level-3'><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/monolith.law\/pt\/it\/risks-of-libraryuse-and-measures\/#Se_nao_atualizar_existem_vulnerabilidades\" title=\"Se n\u00e3o atualizar, existem vulnerabilidades\">Se n\u00e3o atualizar, existem vulnerabilidades<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/monolith.law\/pt\/it\/risks-of-libraryuse-and-measures\/#A_atualizacao_implica_o_risco_de_paragem_do_sistema\" title=\"A atualiza\u00e7\u00e3o implica o risco de paragem do sistema\">A atualiza\u00e7\u00e3o implica o risco de paragem do sistema<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/monolith.law\/pt\/it\/risks-of-libraryuse-and-measures\/#Casos_em_que_a_vulnerabilidade_se_tornou_um_julgamento\" title=\"Casos em que a vulnerabilidade se tornou um julgamento\">Casos em que a vulnerabilidade se tornou um julgamento<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/monolith.law\/pt\/it\/risks-of-libraryuse-and-measures\/#Qual_e_a_medida_mais_realista_contra_vulnerabilidades\" title=\"Qual \u00e9 a medida mais realista contra vulnerabilidades?\">Qual \u00e9 a medida mais realista contra vulnerabilidades?<\/a><ul class='ez-toc-list-level-3'><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/monolith.law\/pt\/it\/risks-of-libraryuse-and-measures\/#Celebracao_de_um_contrato_de_manutencao_incluindo_atualizacoes_de_bibliotecas\" title=\"Celebra\u00e7\u00e3o de um contrato de manuten\u00e7\u00e3o, incluindo atualiza\u00e7\u00f5es de bibliotecas\">Celebra\u00e7\u00e3o de um contrato de manuten\u00e7\u00e3o, incluindo atualiza\u00e7\u00f5es de bibliotecas<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/monolith.law\/pt\/it\/risks-of-libraryuse-and-measures\/#Diagnostico_de_vulnerabilidades\" title=\"Diagn\u00f3stico de vulnerabilidades\">Diagn\u00f3stico de vulnerabilidades<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-10\" href=\"https:\/\/monolith.law\/pt\/it\/risks-of-libraryuse-and-measures\/#Resumo\" title=\"Resumo\">Resumo<\/a><\/li><\/ul><\/nav><\/div>\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"O_que_e_uma_biblioteca\"><\/span>O que \u00e9 uma biblioteca<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Na constru\u00e7\u00e3o de um sistema de neg\u00f3cios, raramente uma empresa de sistemas cria todos os programas necess\u00e1rios internamente. Em vez disso, \u00e9 comum criar uma base com &#8220;componentes de software pr\u00e9-fabricados&#8221; e preencher as lacunas com cria\u00e7\u00f5es pr\u00f3prias. Estes componentes de software pr\u00e9-fabricados s\u00e3o chamados de &#8220;bibliotecas&#8221;. \u00c9 comum utilizar bibliotecas para desenvolver fun\u00e7\u00f5es gen\u00e9ricas. Gen\u00e9rico refere-se a fun\u00e7\u00f5es com alta demanda em qualquer ind\u00fastria ou sistema de qualquer pa\u00eds, como &#8220;fun\u00e7\u00e3o de login&#8221; ou &#8220;fun\u00e7\u00e3o de recupera\u00e7\u00e3o de dados de um banco de dados&#8221;. Para essas fun\u00e7\u00f5es de alta demanda, existem bibliotecas correspondentes. Por outro lado, para fun\u00e7\u00f5es n\u00e3o gen\u00e9ricas que atendem a pedidos espec\u00edficos dos clientes, a empresa de sistemas ter\u00e1 que criar suas pr\u00f3prias, pois n\u00e3o existem bibliotecas pr\u00e9-fabricadas.<\/p>\n\n\n\n<p>Al\u00e9m disso, existe uma palavra semelhante a biblioteca, que \u00e9 &#8220;framework&#8221;. H\u00e1 tamb\u00e9m a palavra OSS (Software de C\u00f3digo Aberto). No contexto de um sistema de neg\u00f3cios, OSS \u00e9 um componente do sistema e \u00e9 a mesma coisa que a biblioteca mencionada neste artigo, mas pode ser uma palavra mais familiar. No entanto, neste artigo, usaremos consistentemente a palavra biblioteca.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Vantagens_da_biblioteca_Rapida_e_segura\"><\/span>Vantagens da biblioteca: R\u00e1pida e segura<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Existem duas raz\u00f5es pelas quais as empresas de sistemas preferem usar bibliotecas em vez de criar as suas pr\u00f3prias.<\/p>\n\n\n\n<ul>\n<li>\u00c9 mais r\u00e1pido do que criar do zero<\/li>\n\n\n\n<li>\u00c9 mais seguro do que criar do zero<\/li>\n<\/ul>\n\n\n\n<p>\u00c9 natural que seja mais r\u00e1pido usar um produto j\u00e1 feito, mas uma grande caracter\u00edstica \u00e9 que tamb\u00e9m \u00e9 superior em termos de seguran\u00e7a. Isto deve-se ao facto de que as bibliotecas famosas est\u00e3o a ser continuamente desenvolvidas, verificadas e utilizadas em ambientes de produ\u00e7\u00e3o por engenheiros e empresas excelentes em todo o mundo. Portanto, medidas est\u00e3o em vigor contra m\u00e9todos de ataque conhecidos, e atualiza\u00e7\u00f5es r\u00e1pidas podem ser esperadas mesmo quando novos m\u00e9todos de ataque s\u00e3o descobertos. Por outro lado, se tentar criar o seu pr\u00f3prio sistema sem usar uma biblioteca, pode ter que passar pelo inc\u00f3modo de envolver uma revis\u00e3o de especialistas para considerar quest\u00f5es de seguran\u00e7a, entre outras coisas. Nesse caso, pode acabar por ter custos para melhorar a seguran\u00e7a. Devido a todas estas circunst\u00e2ncias, o uso de bibliotecas torna-se importante se quiser desenvolver sistemas de forma mais r\u00e1pida e segura.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Desvantagens_da_utilizacao_de_bibliotecas\"><\/span>Desvantagens da utiliza\u00e7\u00e3o de bibliotecas<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>A utiliza\u00e7\u00e3o de bibliotecas pode trazer grandes benef\u00edcios tanto para os clientes como para as empresas de sistemas, permitindo a cria\u00e7\u00e3o de sistemas de forma r\u00e1pida e segura. No entanto, a utiliza\u00e7\u00e3o de bibliotecas tamb\u00e9m implica certos custos. Al\u00e9m disso, existe um dilema: se n\u00e3o atualizarmos a biblioteca, podemos introduzir &#8220;vulnerabilidades&#8221;, mas se a atualizarmos, o sistema pode deixar de funcionar.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Se_nao_atualizar_existem_vulnerabilidades\"><\/span>Se n\u00e3o atualizar, existem vulnerabilidades<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Os criminosos que planeiam roubar informa\u00e7\u00f5es pessoais, informa\u00e7\u00f5es de cart\u00f5es de cr\u00e9dito e segredos comerciais est\u00e3o constantemente \u00e0 procura de falhas de seguran\u00e7a em todas as bibliotecas (e em todos os softwares). Estas falhas de seguran\u00e7a s\u00e3o chamadas de &#8220;vulnerabilidades&#8221; em termos de TI. Existem muitos exemplos de danos causados por vulnerabilidades escondidas nas bibliotecas utilizadas. Por exemplo, o site de inqu\u00e9ritos do Minist\u00e9rio Japon\u00eas da Terra, Infraestrutura, Transporte e Turismo foi atacado atrav\u00e9s de uma vulnerabilidade na biblioteca Struts2 que estava a utilizar, resultando na fuga de informa\u00e7\u00f5es de cerca de 200.000 clientes. Da mesma forma, acredita-se que um site de venda de bilhetes que utilizava o Struts2 pode ter divulgado informa\u00e7\u00f5es de 32.187 cart\u00f5es de cr\u00e9dito. \u00c9 poss\u00edvel que uma vulnerabilidade desconhecida na biblioteca no momento da entrega do sistema seja descoberta posteriormente.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"A_atualizacao_implica_o_risco_de_paragem_do_sistema\"><\/span>A atualiza\u00e7\u00e3o implica o risco de paragem do sistema<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Na pr\u00e1tica, pode haver casos em que n\u00e3o \u00e9 poss\u00edvel atualizar apesar da exist\u00eancia de vulnerabilidades. Isto deve-se ao risco de o sistema parar temporariamente devido \u00e0 atualiza\u00e7\u00e3o. Como a biblioteca n\u00e3o \u00e9 um programa escrito pela empresa de sistemas, \u00e9 praticamente imposs\u00edvel entender completamente o seu conte\u00fado. Portanto, \u00e9 inevit\u00e1vel que n\u00e3o se possa eliminar completamente o risco de o sistema parar temporariamente devido a problemas inesperados causados pela atualiza\u00e7\u00e3o. Como cliente, pode sentir-se frustrado com a empresa de sistemas se n\u00e3o entender o conte\u00fado do sistema entregue. No entanto, a realidade \u00e9 que nem todas as bibliotecas utilizadas nos sistemas modernos, tanto em termos de qualidade como de quantidade, podem ser geridas por uma \u00fanica empresa de sistemas. Por exemplo, existe uma biblioteca chamada &#8220;React&#8221;, que \u00e9 muito popular para a constru\u00e7\u00e3o de interfaces de utilizador. Esta biblioteca \u00e9 um produto altamente sofisticado criado pelos engenheiros da Facebook, e \u00e9 enorme em termos de quantidade, com 195.486 linhas de c\u00f3digo (\u203b1).<\/p>\n\n\n\n<table style=\"border-collapse: collapse;width: 100%\">\n<tbody>\n<tr>\n<td style=\"width: 100%;background-color: #fff0f5;text-align: left\">(\u203b1) Medido com a vers\u00e3o 1.82 do cloc, tendo como refer\u00eancia o master de 23 de Junho de 2019, 7:57 AM GMT+9<br>https:\/\/github.com\/facebook\/react\/commit\/39b97e8eb87b2b3b0d938660e1ac12223470fdf5<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Casos_em_que_a_vulnerabilidade_se_tornou_um_julgamento\"><\/span>Casos em que a vulnerabilidade se tornou um julgamento<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2019\/08\/shutterstock_1357336100-1024x683.jpg\" alt=\"\" class=\"wp-image-3981\" \/><figcaption class=\"wp-element-caption\">Qual \u00e9 a responsabilidade de indemniza\u00e7\u00e3o em caso de danos devido \u00e0 vulnerabilidade da biblioteca?<\/figcaption><\/figure>\n\n\n\n<p>Existe uma quest\u00e3o sobre quem \u00e9 respons\u00e1vel quando ocorrem danos devido a uma vulnerabilidade originada numa biblioteca. Uma refer\u00eancia para isso \u00e9 a decis\u00e3o do Tribunal Distrital de T\u00f3quio de 23 de janeiro de 2014 (Heisei 26). O queixoso contratou a empresa de sistemas, a r\u00e9, para construir um sistema de vendas. No entanto, ap\u00f3s a opera\u00e7\u00e3o do sistema, as informa\u00e7\u00f5es do cart\u00e3o de cr\u00e9dito do utilizador final vazaram devido \u00e0 vulnerabilidade do sistema, e o queixoso sofreu danos de cerca de 32 milh\u00f5es de ienes devido a pedidos de desculpas e investiga\u00e7\u00f5es, o que levou a uma disputa. No contrato celebrado entre o queixoso e a r\u00e9, havia uma cl\u00e1usula de isen\u00e7\u00e3o que limitava o montante da indemniza\u00e7\u00e3o ao montante do contrato se os danos ocorressem por neglig\u00eancia da r\u00e9. A quest\u00e3o era se esta cl\u00e1usula de isen\u00e7\u00e3o poderia ser aplicada. A decis\u00e3o ordenou \u00e0 r\u00e9 que indemnizasse um montante superior ao montante do contrato, uma vez que havia neglig\u00eancia grave da r\u00e9 e a cl\u00e1usula de isen\u00e7\u00e3o n\u00e3o poderia ser aplicada em caso de neglig\u00eancia grave.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote\">\n<p>A r\u00e9, como empresa que realiza o planeamento de sistemas de processamento de informa\u00e7\u00f5es, a produ\u00e7\u00e3o de p\u00e1ginas da web, o desenvolvimento de sistemas de neg\u00f3cios, etc., desenvolve neg\u00f3cios utilizando conhecimentos especializados em programa\u00e7\u00e3o, e forneceu a aplica\u00e7\u00e3o web em quest\u00e3o como parte desses neg\u00f3cios. Pode-se inferir que o queixoso celebrou o contrato do sistema em quest\u00e3o confiando nesse conhecimento especializado, e o grau de cuidado exigido da r\u00e9 \u00e9 relativamente alto. Como mencionado acima, se n\u00e3o houvesse medidas contra a inje\u00e7\u00e3o de SQL, seria poss\u00edvel prever que as informa\u00e7\u00f5es pessoais poderiam vazar do banco de dados em quest\u00e3o devido a um ataque de inje\u00e7\u00e3o de SQL por terceiros, e o Minist\u00e9rio da Economia, Com\u00e9rcio e Ind\u00fastria e a IPA listaram ataques de inje\u00e7\u00e3o de SQL como um m\u00e9todo de ataque t\u00edpico contra aplica\u00e7\u00f5es web, (omiss\u00e3o) e estavam alertando para isso, ent\u00e3o seria f\u00e1cil prever que tal situa\u00e7\u00e3o poderia ocorrer. Al\u00e9m disso, ao usar o mecanismo de liga\u00e7\u00e3o ou ao realizar o processamento de escape, o resultado do vazamento em quest\u00e3o poderia ter sido evitado, e n\u00e3o h\u00e1 evid\u00eancias que sugiram que muito esfor\u00e7o ou custo seria necess\u00e1rio para implementar (omiss\u00e3o: medidas t\u00e9cnicas para evitar o processamento), ent\u00e3o seria f\u00e1cil dizer que o resultado do vazamento em quest\u00e3o poderia ter sido evitado. Portanto, deve-se dizer que a r\u00e9 tem neglig\u00eancia grave.<br> Cita\u00e7\u00e3o: Decis\u00e3o do Tribunal Distrital de T\u00f3quio, 23 de janeiro de 2014 (Heisei 26)<\/p>\n<\/blockquote>\n\n\n\n<p>A descri\u00e7\u00e3o do documento da Funda\u00e7\u00e3o de Informa\u00e7\u00e3o de Software, que interpretou este precedente no contexto da vulnerabilidade da biblioteca, \u00e9 a seguinte.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote\">\n<p>Com base no pensamento deste precedente, mesmo que ocorram danos ao utilizador devido a um defeito (vulnerabilidade, etc.) do OSS, se for reconhecido que o fornecedor negligenciou a resposta \u00e0 vulnerabilidade, intencionalmente ou por neglig\u00eancia grave, \u00e9 prov\u00e1vel que a aplica\u00e7\u00e3o da cl\u00e1usula de isen\u00e7\u00e3o (cl\u00e1usula de limita\u00e7\u00e3o de responsabilidade) seja limitada, como neste caso, e \u00e9 prov\u00e1vel que n\u00e3o seja poss\u00edvel obter o efeito de isen\u00e7\u00e3o. No entanto, se for atacado imediatamente ap\u00f3s a publica\u00e7\u00e3o das informa\u00e7\u00f5es de contramedidas para a vulnerabilidade do OSS, \u00e9 poss\u00edvel que a facilidade de evitar o resultado seja negada, etc., e pode n\u00e3o ser reconhecida neglig\u00eancia grave.<br><\/p>\n<cite><a href=\"https:\/\/www.softic.or.jp\/ossqa\/all_180328_mc.pdf\" target=\"_blank\" rel=\"noreferrer noopener\">Cole\u00e7\u00e3o de perguntas e respostas sobre problemas legais no uso de OSS na era IoT [PDF][ja]<\/a> (p\u00e1gina 84)<\/cite><\/blockquote>\n\n\n\n<p>Assim, mesmo que seja uma vulnerabilidade originada numa biblioteca, se for uma vulnerabilidade conhecida e for f\u00e1cil prever o ataque, \u00e9 prov\u00e1vel que seja tratada como responsabilidade da empresa de sistemas.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Qual_e_a_medida_mais_realista_contra_vulnerabilidades\"><\/span>Qual \u00e9 a medida mais realista contra vulnerabilidades?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2019\/08\/shutterstock_569274715-1024x683.jpg\" alt=\"\" class=\"wp-image-3982\" \/><figcaption class=\"wp-element-caption\">Como medida contra vulnerabilidades, a celebra\u00e7\u00e3o de um contrato de manuten\u00e7\u00e3o e a realiza\u00e7\u00e3o de um diagn\u00f3stico de vulnerabilidades s\u00e3o essenciais.<\/figcaption><\/figure>\n\n\n\n<p>Se ocorrer uma fuga de informa\u00e7\u00e3o devido a um ato intencional ou neglig\u00eancia grave de uma empresa de sistemas, \u00e9 prov\u00e1vel que se possa obter uma compensa\u00e7\u00e3o atrav\u00e9s de um processo legal. No entanto, do ponto de vista pr\u00e1tico, o mais importante \u00e9 evitar que a fuga ocorra em primeiro lugar. Mesmo que se receba uma compensa\u00e7\u00e3o atrav\u00e9s de um processo, a confian\u00e7a perdida dos utilizadores finais devido \u00e0 fuga de informa\u00e7\u00e3o n\u00e3o pode ser recuperada. Para isso, os seguintes dois pontos s\u00e3o importantes:<\/p>\n\n\n\n<ol>\n<li>Celebra\u00e7\u00e3o de um contrato de manuten\u00e7\u00e3o, incluindo atualiza\u00e7\u00f5es de bibliotecas<\/li>\n\n\n\n<li>Diagn\u00f3stico de vulnerabilidades<\/li>\n<\/ol>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Celebracao_de_um_contrato_de_manutencao_incluindo_atualizacoes_de_bibliotecas\"><\/span>Celebra\u00e7\u00e3o de um contrato de manuten\u00e7\u00e3o, incluindo atualiza\u00e7\u00f5es de bibliotecas<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Existem contratos para a constru\u00e7\u00e3o de sistemas de neg\u00f3cios que envolvem apenas o desenvolvimento ou tamb\u00e9m a manuten\u00e7\u00e3o. Se a sua empresa n\u00e3o tem especialistas capazes de realizar a manuten\u00e7\u00e3o, \u00e9 apropriado celebrar um contrato de manuten\u00e7\u00e3o. No contrato, pode-se prevenir problemas ao solicitar \u00e0 empresa de sistemas medidas contra vulnerabilidades, incluindo atualiza\u00e7\u00f5es de bibliotecas, e ao esclarecer a obriga\u00e7\u00e3o da empresa de sistemas de responder e a obriga\u00e7\u00e3o do cliente de pagar em conformidade. Pode-se dizer que \u00e9 necess\u00e1rio um contrato que obrigue a empresa de sistemas a responder como especialista e que o cliente assuma o custo suficiente para solicitar a um especialista.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Diagnostico_de_vulnerabilidades\"><\/span>Diagn\u00f3stico de vulnerabilidades<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Enquanto a quantidade de dados tratados pelos sistemas e a demanda por UI est\u00e3o a aumentar diariamente, o n\u00famero de novas vulnerabilidades descobertas continua a aumentar. Portanto, existe uma situa\u00e7\u00e3o em que \u00e9 dif\u00edcil para a empresa de sistemas prevenir completamente a introdu\u00e7\u00e3o de vulnerabilidades. \u00c9 aqui que entra o diagn\u00f3stico de vulnerabilidades. De acordo com a IPA, mais de 50% de todas as empresas e 80% das grandes empresas realizam diagn\u00f3sticos de vulnerabilidades.<\/p>\n\n\n\n<p>Existem v\u00e1rios tipos de diagn\u00f3sticos de vulnerabilidades, desde ferramentas gratuitas at\u00e9 diagn\u00f3sticos manuais caros. Em particular, quando se lida com informa\u00e7\u00f5es cuja divulga\u00e7\u00e3o seria fatal, pode-se dizer que \u00e9 essencial tomar medidas, atribuindo um custo suficiente e delegando o diagn\u00f3stico de vulnerabilidades a uma empresa que se especializa nisso. Al\u00e9m disso, como as vulnerabilidades s\u00e3o descobertas diariamente, \u00e9 importante realizar continuamente um <a href=\"https:\/\/www.ipa.go.jp\/files\/000058493.pdf\" target=\"_blank\" rel=\"noreferrer noopener\">diagn\u00f3stico de vulnerabilidades[ja]<\/a> (P15) n\u00e3o s\u00f3 no momento da entrega, mas tamb\u00e9m ap\u00f3s a entrega.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Resumo\"><\/span>Resumo<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Neste artigo, explicamos os riscos associados ao uso de bibliotecas e como lidar com eles. As bibliotecas s\u00e3o extremamente \u00fateis, mas tamb\u00e9m apresentam riscos, como a ocorr\u00eancia de vulnerabilidades e poss\u00edveis danos, como vazamento de informa\u00e7\u00f5es, se n\u00e3o forem atualizadas. Legalmente, se houver neglig\u00eancia grave por parte da empresa de sistemas, pode ser poss\u00edvel receber compensa\u00e7\u00e3o por um vazamento de informa\u00e7\u00f5es. No entanto, na pr\u00e1tica, \u00e9 importante tomar medidas para prevenir o vazamento de informa\u00e7\u00f5es em primeiro lugar. Para isso, deve-se concordar contratualmente sobre o tempo de trabalho para atualizar a biblioteca e sobre o diagn\u00f3stico de vulnerabilidades. Se n\u00e3o usar bibliotecas, \u00e9 quase imposs\u00edvel atingir o n\u00edvel necess\u00e1rio de prazo e funcionalidade. Para aproveitar os benef\u00edcios das bibliotecas enquanto evita problemas, \u00e9 necess\u00e1rio chegar a um acordo com a empresa de sistemas sobre o custo da atualiza\u00e7\u00e3o e as medidas contra vulnerabilidades. Para evitar um golpe fatal nos neg\u00f3cios devido a um vazamento de informa\u00e7\u00f5es, \u00e9 importante prestar aten\u00e7\u00e3o suficiente \u00e0 seguran\u00e7a, bem como a elementos como funcionalidade, layout da tela e pre\u00e7o, desde o momento do contrato.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Na era moderna, a constru\u00e7\u00e3o de sistemas de neg\u00f3cios requer um componente do sistema chamado &#8216;biblioteca&#8217;. No entanto, o uso de bibliotecas tamb\u00e9m apresenta riscos. Us\u00e1-las sem considerar  [&hellip;]<\/p>\n","protected":false},"author":32,"featured_media":59249,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[16],"tags":[19,31],"acf":[],"_links":{"self":[{"href":"https:\/\/monolith.law\/pt\/wp-json\/wp\/v2\/posts\/58647"}],"collection":[{"href":"https:\/\/monolith.law\/pt\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/monolith.law\/pt\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/monolith.law\/pt\/wp-json\/wp\/v2\/users\/32"}],"replies":[{"embeddable":true,"href":"https:\/\/monolith.law\/pt\/wp-json\/wp\/v2\/comments?post=58647"}],"version-history":[{"count":2,"href":"https:\/\/monolith.law\/pt\/wp-json\/wp\/v2\/posts\/58647\/revisions"}],"predecessor-version":[{"id":59251,"href":"https:\/\/monolith.law\/pt\/wp-json\/wp\/v2\/posts\/58647\/revisions\/59251"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/monolith.law\/pt\/wp-json\/wp\/v2\/media\/59249"}],"wp:attachment":[{"href":"https:\/\/monolith.law\/pt\/wp-json\/wp\/v2\/media?parent=58647"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/monolith.law\/pt\/wp-json\/wp\/v2\/categories?post=58647"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/monolith.law\/pt\/wp-json\/wp\/v2\/tags?post=58647"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}