Este documento define as diretrizes de segurança para o repositório do projeto Maloca das iCoisas. O objetivo é assegurar a confidencialidade, integridade e disponibilidade dos dados, códigos e ativos relacionados ao desenvolvimento de soluções IoT no contexto da saúde.

Esta política se aplica a todos os membros, colaboradores e contribuintes do projeto Maloca das iCoisas que trabalham com:

• Dispositivos IoT (ex. Arduino, Raspberry Pi e ESP32)
• Programação em linguagens C e Python
• Sensores e atuadores aplicados ao monitoramento e cuidado da saúde

• Confidencialidade dos Dados: Dados sensíveis (ex. informações de saúde de pacientes ou dados identificáveis) não devem ser armazenados no repositório. Caso seja necessário, utilize técnicas de anonimização e/ou criptografia.
• Autenticação e Autorização: Utilize sempre autenticação forte (ex. chaves SSH) para acesso ao repositório. Evite o uso de senhas fracas ou compartilhadas.
• Backup e Recuperação: Realize backups regulares do código-fonte e mantenha um plano de recuperação de desastres para o repositório.

• Commits e Comentários: Mantenha mensagens de commits detalhadas e use títulos que descrevam claramente a alteração. Evite comentários vagos ou genéricos como “update” ou “fix bug”.
• Branches: Cada nova funcionalidade ou correção de bug deve ser desenvolvida em branches separados, seguindo a nomenclatura feature/nome-funcionalidade ou bugfix/nome-bug.

• Senhas e Credenciais: Nunca compartilhe senhas, chaves de API ou outros dados confidenciais diretamente no código-fonte. Utilize variáveis de ambiente para armazenar informações sensíveis.
• Validação de Entrada: Todas as entradas de dados devem ser validadas para prevenir vulnerabilidades como injeção de código e sobrecarga de buffers.
• Revisão de Código: Todo código submetido ao repositório deve passar por uma revisão, priorizando segurança e conformidade com os padrões do projeto.

• Atualização de Firmware: Mantenha o firmware dos dispositivos IoT (Arduino, Raspberry Pi, ESP32) sempre atualizado. Instale apenas atualizações de fontes confiáveis.
• Configuração de Rede: Dispositivos conectados à rede devem estar configurados em uma rede segura, com autenticação e firewall ativados para prevenir acessos não autorizados.
• Controle de Acesso a Dispositivos: Acesso físico e remoto aos dispositivos IoT deve ser restrito a membros autorizados do projeto.

• Relatório de Incidentes: Em caso de detecção de vulnerabilidades ou incidentes de segurança, comunique imediatamente aos responsáveis pelo projeto, documentando os detalhes e ações tomadas.
• Correção de Vulnerabilidades: Vulnerabilidades identificadas devem ser corrigidas no prazo de 30 dias, priorizando sempre a manutenção da segurança e estabilidade do sistema.
• Análise de Segurança Periódica: Realize testes de segurança trimestrais para garantir que o código e os dispositivos estejam em conformidade com as diretrizes de segurança estabelecidas.

• Verificação de Segurança: Todas as bibliotecas e dependências de terceiros devem ser revisadas quanto à segurança e procedência antes de serem integradas ao projeto.
• Gerenciamento de Dependências: Utilize arquivos de configuração (ex. requirements.txt para Python) para especificar as dependências e mantenha-as sempre atualizadas.

• Permissões e Privilégios: Contribuidores externos devem ter permissões limitadas no repositório. Revisões de código e permissões de merge são limitadas a colaboradores internos do projeto.
• Código Malicioso: É estritamente proibido incluir ou recomendar a inclusão de código malicioso (ex. malware, spyware, trojans) no repositório.
• Política de Pull Requests: Todos os pull requests devem passar por análise de segurança antes de serem aprovados para garantir a conformidade com esta política.

Ao contribuir para o projeto, todos os colaboradores concordam com esta política e se comprometem a manter os padrões de segurança definidos acima para proteger os dados, dispositivos e usuários finais das soluções desenvolvidas pelo Maloca das iCoisas.

Última atualização: 29/10/2024