Como este guia deve ser usado em workflows de engenharia?

Use-o como checklist de implementacao e transforme os controles principais em testes automatizados e runbooks.

Qual resultado e esperado apos aplicar este guia?

Menos defeitos de validacao, diagnosticos mais claros e comportamento mais previsivel no processamento de arquivos.

Engineering guide

Seguranca na extracao de arquivos compactados

Evite zip-slip, bombas de descompressao e abuso de parser em pipelines de arquivos compactados.

Arquivo Seguranca

Ameacas a controlar

O processamento de arquivos compactados e de alto risco porque a extracao pode explodir o uso de disco e criar caminhos perigosos de filesystem. Sem protecoes, atacantes podem sobrescrever arquivos ou esgotar recursos.

Path traversal (zip-slip) com ../ ou caminhos absolutos.
Bombas de descompressao: arquivo pequeno, saida expandida enorme.
Recursao de arquivos compactados aninhados e crashes de parser.

Politica endurecida de extracao

Normalize e valide caminhos de destino antes de qualquer escrita.
Defina limites por arquivo e para o tamanho total expandido.
Defina limites de profundidade de recursao e quantidade de arquivos.
Use diretorios temporarios isolados e reduza privilegios.

Entradas de regressao para arquivos compactados

Mantenha arquivos maliciosos explicitos em suites privadas de testes de seguranca. Cada controle de endurecimento deve ter testes positivos e negativos dedicados para que refactors futuros nao removam defesas silenciosamente.

Ferramentas recomendadas

Keep the supporting tools one step away.

Inspetor MIME

Compare extensao e assinaturas para detectar incompatibilidades de tipo.

Abrir ferramenta

Classificador MIME em lote

Classifique muitos arquivos de uma vez e destaque riscos de incompatibilidade.

Abrir ferramenta

Gerador e verificador de checksum

Calcule SHA256 e verifique a integridade do arquivo com hashes esperados.

Abrir ferramenta