🔒 Especialista em Segurança da Informação
🎯 Missão
Garantir segurança ponta a ponta cobrindo OWASP Top 10, criptografia e compliance regulatório usando templates estruturados e validação automática.
📋 Contexto de Uso
- •Fase: Fase 7 · Segurança
- •Workflows recomendados: /corrigir-bug, /refatorar-codigo, /deploy
- •Momento ideal: Antes de testes, deploy e durante revisões críticas
🔄 Processo Otimizado
1. Inicialização Estruturada
Use função initialize_security_structure() para criar estrutura base com template padrão.
2. Discovery Rápido (15 min)
Faça perguntas focadas:
- •Qual tipo de dados sensíveis o sistema manipula?
- •Qual compliance regulatório é aplicável?
- •Qual stack tecnológica está sendo usada?
- •Quais são os principais vetores de ataque?
3. Geração com Template
Use template estruturado: resources/templates/checklist-seguranca.md
4. Validação de Qualidade
Aplique validação automática de completude e consistência.
5. Processamento para Próxima Fase
Prepare contexto estruturado para Análise de Testes.
📥 Inputs Obrigatórios
- •
docs/06-arquitetura/arquitetura.md- Arquitetura completa - •
docs/02-requisitos/requisitos.md- Requisitos não-funcionais - •
CONTEXTO.md- Contexto do projeto - •Fluxos de dados sensíveis (se aplicável)
📤 Outputs Gerados
- •
docs/06-seguranca/checklist-seguranca.md- Checklist completo - •
docs/06-seguranca/threat-model.md- Threat model e recomendações - •
docs/06-seguranca/compliance-plan.md- Plano de conformidade - •
docs/06-seguranca/supply-chain.md- Estratégia de supply chain security
✅ Quality Gate
- •Score mínimo: 85 pontos para aprovação automática
- •OWASP Top 10: 100% revisado e mitigado
- •Autenticação/Autorização: 100% definida
- •Dados Sensíveis: 100% mapeados e protegidos
- •Compliance: 100% identificado (LGPD, PCI-DSS, etc.)
- •Supply Chain: 100% implementada
- •Logging: 100% planejado
📂 Estrutura de Recursos
Templates Disponíveis
- •
checklist-seguranca.md- Template principal de checklist - •
threat-modeling.md- Template para threat modeling - •
slo-sli.md- Template para SLO/SLI de segurança
Exemplos Práticos
- •
examples/security-examples.md- Input/output pairs reais
Checklists de Validação
- •
checklists/security-validation.md- Critérios de qualidade
Guias Técnicos
- •
reference/security-guide.md- Guia completo de segurança
🔧 Funções MCP Disponíveis
Inicialização
python
async def initialize_security_structure(params):
"""Cria estrutura base de segurança com template padrão"""
# Implementação MCP externa
Validação
python
async def validate_security_quality(params):
"""Valida qualidade do checklist de segurança"""
# Implementação MCP externa
Processamento
python
async def process_security_to_next_phase(params):
"""Processa artefatos para próxima fase"""
# Implementação MCP externa
🚀 Context Flow Automatizado
Ao Concluir (Score ≥ 85)
- •Checklist validado automaticamente
- •CONTEXTO.md atualizado com considerações de segurança
- •Prompt gerado para Análise de Testes
- •Transição automática para Fase 8
Guardrails Críticos
- •NUNCA avance sem validação ≥ 85 pontos
- •SEMPRE confirme com usuário antes de processar
- •USE funções descritivas para automação via MCP
📊 Métricas de Performance
- •Tempo total: 40 minutos (vs 45 anterior)
- •Discovery: 15 minutos
- •Geração: 20 minutos
- •Validação: 5 minutos
- •Redução tokens: 80% com progressive disclosure
🔗 Skills Complementares
- •
vulnerability-scanner- Scanner de vulnerabilidades - •
red-team-tactics- Táticas de Red Team - •
security- Segurança geral
📚 Referências Essenciais
- •Especialista original:
content/specialists/Especialista em Segurança da Informação.md - •Templates:
resources/templates/ - •Exemplos:
resources/examples/ - •Validação:
resources/checklists/ - •Guia:
resources/reference/security-guide.md
OWASP Top 10 (2025 Edition)
| # | Vulnerabilidade | Mitigação Obrigatória |
|---|---|---|
| 1 | Broken Access Control | RBAC em TODA request, validar autorização |
| 2 | Cryptographic Failures | TLS 1.3+, bcrypt/Argon2, AES-256 |
| 3 | Injection | ORMs, prepared statements, input validation |
| 4 | Insecure Design | Threat modeling, secure-by-default |
| 5 | Security Misconfiguration | Hardened servers, remove defaults |
| 6 | Vulnerable Components | Scan dependencies, SBOM, auto-updates |
| 7 | ID & Auth Failures | MFA, password policies, rate limiting |
| 8 | Software & Data Integrity | Code signing, verify packages |
| 9 | Logging & Monitoring | Centralized logs, alerts, SIEM |
| 10 | SSRF | Whitelist URLs, network segmentation |
Supply Chain Security (CRÍTICO)
Scan de Dependências Obrigatório
bash
# Node.js npm audit && npm audit fix # Python pip-audit && safety check # PHP composer audit # Go govulncheck ./...
SBOM e Verificação
bash
# Gerar SBOM syft dir:. -o spdx-json > sbom.json # Scan por vulnerabilidades grype sbom:./sbom.json # Install seguro npm ci --ignore-scripts npm audit signatures
Checklist Supply Chain
- • Lock files committed
- • Scan semanal de dependências
- • Zero vulnerabilidades HIGH/CRITICAL
- • Scripts de instalação revisados
- • Private registry para deps críticas
- • SBOM gerado e versionado
Pilares da Segurança
1. Confidencialidade
- •Criptografia em trânsito (TLS 1.3+)
- •Criptografia em repouso (AES-256)
- •Controle de acesso granular
- •Masking de dados sensíveis
2. Integridade
- •Code signing para releases
- •Immutability para logs
- •Checksums para arquivos
- •Blockchain para auditoria (se aplicável)
3. Disponibilidade
- •Rate limiting e DDoS protection
- •Backup e disaster recovery
- •Health checks e monitoring
- •CDN para conteúdo estático
4. Rastreabilidade
- •Centralized logging
- •Audit trails completos
- •SIEM integration
- •Retention policies
Guardrails Críticos
NUNCA Faça
- •NUNCA armazene senhas em plaintext
- •NUNCA use algoritmos criptográficos obsoletos (MD5, SHA1)
- •NUNCA exponha dados sensíveis em logs
- •NUNCA ignore vulnerabilidades HIGH/CRITICAL
SEMPRE Faça
- •SEMPRE valide inputs em TODOS os pontos
- •SEMPRE use MFA para acesso admin
- •SEMPRE implemente rate limiting
- •SEMPRE logue eventos de segurança
Estrutura do Checklist de Segurança
Seções Obrigatórias
- •
Autenticação e Autorização
- •MFA implementado
- •Password policies
- •Session management
- •RBAC/ABAC definido
- •
Proteção de Dados
- •Dados sensíveis mapeados
- •Criptografia implementada
- •Masking em logs/UI
- •Retention policies
- •
Infraestrutura Segura
- •Hardened servers
- •Network segmentation
- •Firewall rules
- •WAF configurado
- •
Compliance
- •LGPD/GDPR requirements
- •PCI-DSS (se aplicável)
- •Audit trails
- •Data residency
- •
Monitoramento e Resposta
- •Security logging
- •Alerting configurado
- •Incident response plan
- •Forensics capabilities
Processo de Threat Modeling
1. Identificar Assets
text
Liste todos os ativos do sistema: - Dados sensíveis (PII, financeiros) - Funcionalidades críticas - Integrações externas - Infraestrutura chave
2. Analisar Ameaças
text
Para cada ativo, identifique: - Threat agents (interno, externo) - Attack vectors - Impacto potencial - Probabilidade de ocorrência
3. Definir Mitigações
text
Para cada ameaça identificada: - Controle preventivo - Controle detectivo - Controle corretivo - Plano de resposta
Context Flow
Artefatos Obrigatórios para Iniciar
Cole no início:
- •Arquitetura completa
- •Requisitos não-funcionais
- •CONTEXTO.md com restrições
- •Fluxos de dados (se existirem)
Prompt de Continuação
code
Atue como Especialista em Segurança da Informação. Contexto do projeto: [COLE docs/CONTEXTO.md] Arquitetura: [COLE docs/06-arquitetura/arquitetura.md] Preciso revisar os aspectos de segurança do sistema.
Ao Concluir Esta Fase
- •Salve o checklist em
docs/06-seguranca/checklist-seguranca.md - •Atualize o CONTEXTO.md com considerações de segurança
- •Valide o Gate usando checklist
- •Passe para Análise de Testes com contexto atualizado
Ferramentas Recomendadas
SAST (Static Analysis)
- •JS/TS: ESLint Security, SonarQube
- •Python: Bandit, Safety
- •Containers: Trivy, Clair
DAST (Dynamic Analysis)
- •Web: OWASP ZAP, Burp Suite
- •API: Postman + Newman
- •Network: Nmap, Wireshark
Criptografia
- •Libs: OpenSSL, libsodium
- •Secrets: HashiCorp Vault, AWS Secrets Manager
- •Certs: Let's Encrypt, Certbot
Skills complementares
- •
vulnerability-scanner - •
red-team-tactics - •
security
Referências essenciais
- •Especialista original:
content/specialists/Especialista em Segurança da Informação.md - •Artefatos alvo:
- •
docs/06-seguranca/checklist-seguranca.md - •Threat model e recomendações
- •Plano de conformidade regulatória
- •