A plataforma é segura, mas talvez nós desenvolvedores estamos deixando algo exposto.

O OutSystems Analyzer (Open Source Intelligence) organiza esses dados para transformar caos em estratégia de análise; e nos próximos minutos você irá entender como e porque deixar sua aplicação OutSystems mais segura.

Com a ascensão das IAs generativas no desenvolvimento, o volume de código produzido escalou, mas a qualidade e a refatoração não acompanharam o mesmo ritmo. Estudos recentes (como o da GitClear) mostram que estamos produzindo código mais rápido, PORÉM COM UM ACÚMULO DE DÉBITO TÉCNICO SEM PRECEDENTES.

  • GitClear: "Coding on Copilot: 2024 Data Report"
  • Snyk: "State of Open Source Security Report"

VERIZON DATA BREACH INVESTIGATIONS REPORT (DBIR): Configuração incorreta (Misconfiguration) e o erro humano são os principais vetores de exposição de dados.

CLOUD SECURITY ALLIANCE (CSA): Configuração incorreta e controle de mudança inadequado.

STATE OF SOFTWARE SECURITY — Veracode: Vazamento de informações (Information Exposure) — é uma das categorias de maior crescimento. Isso acontece porque o código "funciona", mas o desenvolvedor não limpou as pistas técnicas que ele deixou para trás.

PERCEBEU UM PADRÃO? Todos os itens acima são causados pelo desenvolvedor; então temos uma plataforma extremamente segura como a OutSystems (o ODC, por exemplo, elevou o nível!), mas do outro lado temos o fator humano: o débito técnico que, sob pressão por prazos, acaba deixando 'portas abertas' em ambientes que deveriam ser blindados.

2026 -> OUTSYSTEMS ANALYZER, O MAIS PODEROSO.

Em 2024 eu havia feito um script em Python (OSSCAN) que recebia a url da sua aplicação OS e então retornava alguns dados de análise; logo depois outras ferramentas baseadas na que criei começaram a aparecer, o que é ótimo, demonstra que estamos criando uma comunidade mais consciente da segurança.

Ao unir 10 anos de experiência em desenvolvimento OutSystems com a mentalidade de Cibersegurança, o resultado é uma ferramenta que não audita a plataforma — que já é sólida — mas sim o comportamento e os rastros deixados pelo desenvolvimento. O foco não é o 'core', é a implementação.

Instale a ferramenta aqui: https://github.com/5O4R3S/OutSystems-Analyzer

None

Home Page

3 pontos que eu acho mais legais para você experimentar, que inclusive já me trouxeram valores reais em programas de bug bounty:

  • Análise de Requisições e Respostas: Fornece uma análise detalhada das chamadas de rede em cada tela, detalhando as estruturas das requisições e as respostas do servidor para uma avaliação completa de potenciais pontos de IDOR.
None

Requests Analysis

  • Análise de Recursos Públicos: As vezes o que você (desenvolvedor) deixa na aplicação pode expor dados sensíveis ou até mesmo ser a porta de entrada para uma análise mais robusta.
None
  • Default Value: Valores padrões são necessários, mas devem estar guardados em locais apropriados, como por exemplo em um site properties, mas quando não estão armazenados corretamente isso pode ser uma informação valiosa.

E agora o que você deve fazer?

Não precisa de acesso interno ou credenciais. Fornecendo apenas a URL pública, a ferramenta automatiza o trabalho que um analista levaria horas para fazer manualmente: o footprinting completo da aplicação, organizando cada pedaço de informação que o navegador 'fala' sobre o seu código.

PARA VOCÊ, DESENVOLVEDOR: o Analyzer não é uma ferramenta de crítica, mas de apoio à excelência. Com ele, você consegue enxergar sua aplicação através dos olhos de um auditor e perceber, de forma simples e visual, onde seu código precisa de atenção imediata para garantir uma entrega verdadeiramente robusta.

Considere conversar com um MVP

Ter um OutSystems MVP no seu projeto é um diferencial estratégico para manter a qualidade e a segurança do código em níveis de excelência.

O OutSystems Analyzer é OPEN-SOURCE e você pode instalá-lo agora mesmo na sua máquina para começar suas análises (você mesmo faz o setup e roda seus testes). Mas, se você encontrar qualquer dificuldade técnica ou precisar de ajuda para interpretar os resultados, não hesite: procure um MVP. Além de dominar a ferramenta, nós entregamos os insights estratégicos necessários para transformar dados brutos em um plano de ação robusto.

Considerações

O ecossistema de segurança na nossa comunidade não se faz sozinho; ele é construído através do compartilhamento de conhecimento e ferramentas como esta.

É importante reforçar: o OutSystems Analyzer foca exclusivamente em analisar dados públicos e rastros deixados durante o desenvolvimento (o débito técnico). A plataforma OutSystems em si já é extremamente robusta e não precisa dessa análise de segurança — o nosso foco aqui é elevar a qualidade do que nós, como desenvolvedores, construímos sobre ela.

None

Use ou Colabore (OutSystems Analyzer): https://github.com/5O4R3S/OutSystems-Analyzer

Encontre um MVP: https://www.outsystems.com/members/

Encontre um Mentor: https://www.outsystems.com/mentorship-program/

Abraço,

Lucas Soares

#security #outsystemsMVP #Pentest