Um novo software desenvolvido no âmbito do Instituto Metrópole Digital (IMD) da UFRN é um dos mais novos sistemas registrados, há pouco mais de um mês, no Instituto Nacional de Propriedade Industrial (INPI). A ferramenta, denominada TerraSecLint, é capaz de analisar automaticamente a configuração de diferentes infraestruturas em nuvem – como como servidores virtuais, bancos de dados e aplicações hospedadas –, identificando possíveis problemas de segurança antes mesmo dos softwares entrarem em operação.

Essa funcionalidade fez da solução algo inédito, visto que, nesse contexto de desenvolvimento, linters (revisores) convencionais não são utilizados para prever questões de segurança. O desenvolvimento do TerraSecLint ocorreu no contexto de uma pesquisa de mestrado no Programa de Pós-Graduação em Tecnologia da Informação (PPgTI) do Instituto Metrópole Digital.

O plugin foi desenvolvido pelo discente Gérfesson da Nóbrega, sob orientação do docente Eiji Adachi, do IMD/UFRN. O registro no INPI foi feito no dia 22 de março, e com a Agência de Inovação da Universidade (AGIR/UFRN) ocorreu na mesma semana.

O software foi desenvolvido como um plugin da ferramenta TFLint, amplamente utilizada na comunidade de Infraestrutura como Código (IaC) para identificar erros de sintaxe e problemas de más práticas de código. Segundo os responsáveis pelo projeto, o software funciona como uma espécie de “revisor” de segurança voltado para desenvolvedores que utilizam o conceito de IaC.

Nesse contexto, a ferramenta analisa, de forma automática e antecipada, arquivos escritos em Terraform, uma das linguagens mais usadas para IaC, e aponta padrões suspeitos que podem evoluir para falhas de segurança. Esses sinais, chamados de “security smells”, indicam riscos como configurações excessivamente permissivas, ausência de boas práticas ou definições inseguras.

Aplicabilidade

O aluno desenvolvedor da ferramenta, Gérfesson da Nóbrega, afirma que ela já está disponível no GitHub – plataforma que gerencia e armazena repositórios de código para revisão e alteração – para desenvolvedores do Terraform que desejam realizar análises de segurança ainda no ciclo de desenvolvimento de seus sistemas.

“Ela contribui como apoio ao desenvolvimento seguro de soluções em nuvem, uso em pipelines de DevOps e DevSecOps, auditoria e revisão de configurações de infraestrutura, além de atividades de ensino e formação em boas práticas de segurança”, esclarece o pesquisador.

Além disso, o aluno argumenta que, por se tratar de um plugin do TFLint, os interessados podem facilmente integrar o TerraSecLint a fluxos de desenvolvimento já existentes, sem exigir grandes mudanças nos processos de suas equipes.

Segundo o professor Eiji Adachi, o software encontra-se em fase de validação e experimentação, sendo testado em cenários reais e acadêmicos para avaliar sua eficácia na detecção de problemas de segurança.

“A expectativa dos pesquisadores é que a ferramenta tenha grande potencial de uso em empresas que utilizam computação em nuvem, startups, órgãos públicos e qualquer organização que adote Infraestrutura como Código”, adiciona o professor.

Diferencial

A concepção do TerraSecLint tem como diferencial justamente o fato dele ser totalmente aplicado à segurança, diferentemente de um linter convencional. A solução criada por Gérfesson da Nóbrega busca focar especificamente nos “security smells” aplicados à IaC, problema que, de acordo com o pesquisador, ainda é pouco explorado pelos sistemas tradicionais.

“Normalmente, erros que levam a falhas de segurança podem ser difíceis de perceber manualmente”, comenta o desenvolvedor. “O TerraSecLint tem como objetivo detectar esses problemas de forma antecipada, que além de reduzir riscos, também evita retrabalho nas etapas finais do desenvolvimento”.

O software atua, portanto, como um mecanismo de prevenção, educação e melhoria da qualidade, ajudando profissionais e organizações a adotarem práticas mais seguras de forma sistemática.