Merge tag 'v1.2.0' into develop

v1.2.0

* OWASP API Security Top 10 2019 pt-BR translation

Author: PauloASilva

2019/pt-br/CONTRIBUTING.md

@@ -0,0 +1,46 @@
+Como contribuir
+===============
+
+Quando quiser contribuir com este repositório, por favor, antes discuta a mudança que deseja fazer enviando a questão com o proprietário do repositório antes de efetivar a mudança. Correções de digitação ou de refraseamento para melhor compreensão NÃO requerem discussão com o proprietário.
+
+## Modelo de *branching*
+
+Este repositório mantém dois *branches* principais com um tempo de vida indefinido:
+* `master` é o *branch* padrão e que portanto reflete a última *release*.
+* `develop` é o *branch* padrão refletindo as últimas modificações para o próximo *release*. Quando o *branch* `develop` alcança um estágio estável e está pronto para liberação de uma versão nova e final, todas as modificações desde são unificadas de volta no *branch* `master`.
+
+Uma variadade de *branches* de suporte são utilizadas para cuidar de desenvolvimentos paralelos. Estes tipos de *branches* possuem um tempo de vida limitado, até serem eventualmente e definitivamente removidos.
+
+## Contribuindo
+
+Contribuições a este repositório são bem-vindas. Para facilitar o gerencialmente, por favor, siga os passos abaixo descritos:
+
+1. Faça o *fork* do repositório na sua conta.
+
+2. Faça o clone desse repositório localmente.
+   ```
+   git clone https://github.com/YOU/API-Security.git
+   ```
+3. Crie um novo *branch* baseado no `develop` do projeto original. (Ex.: `fix/foreword-section`)
+   ```
+   git checkout develop && git checkout -b fix/foreword-section
+   ```
+4. Aplique suas modificações conforme necessário.
+
+   Por favor, sempre tenha atenção para seguir nossa convenção de estilos.
+
+   Embora exista um arquivo [`.editorconfig`][1] na raíz do repositório, seu editor pode talvez não suportá-lo. Para aprender mais sobre o [EditorConfig][2] e o suporte a IDEs e editores, consulta o website: https://editorconfig.org/.
+
+5. Faça o commit da suas mdificações.
+
+   1. Verifique os arquivos modificados e adicione apenas estes (ex.: artefatos de compilação NÃO DEVEM estar sob controle de versão).
+   2. A primeira linha da mensagem de *commit* deve informar uma breve descrição das modificações. Você pode detalhar melhor as mudanças no corpo do *commit*.
+
+6. Faça o *push* das mudanças para seu repositório público.
+   ```
+   git push origin fix/foreword-section
+   ```
+7. Abra um *pull request* do seu *branch* `fix/foreword-section` para o *branch* `develop` do repositório original do projeto.
+
+[1]: .editorconfig
+[2]: https://editorconfig.org/

2019/pt-br/README.md

@@ -0,0 +1,48 @@
+Os dez mais críticos riscos de segurança de API
+===============================================
+
+Uma tradução para o português do Brasil do projeto OWASP API Security Top 10.
+
+Este projeto é desenhado para endereçar o contínuo aumento de organizações que entregam dados potencialmente sensíveis por meio de APIs em suas ofertas de software. Estas APIs são utilizadas para tarefas internas e para interface com parceiros. Infelizmente, muitas APIs não são submetidas a testes rigorosos de segurança, o que pode colaborar a deixá-las inseguras à ataques.
+
+O projeto OWASP API Security Project procura entregar valor aos desenvolvedores de software e também aos profissionais de segurança pontuando os potenciais riscos de APIs inseguras, e ilustrar como tais riscos podem ser mitigados. Como uma maneira de facilitar este objetivo, o OWASP API Security Project irá criar e manter o documento com os dez principais riscos, bem como um portal com a documentação com as melhores práticas para criação e acesso de APIs.
+
+## Descrição
+
+Equanto trabalhávamos com desenvolvedores ou consultores da segurança da informação, muitas pessoas encontraram APIs como partes de seus projetos. Euquanto existem algumas fontes que apoiam na criação e avaliação desse tipo de projeto (como o projeto OWASP REST Security Cheat Sheet), não havia um projeto destinado a assistir fabricantes, atacantes e defensores na comunidade.
+
+Este projeto tem como alvo:
+
+* Criar o documento OWASP Top Ten API Security Risks, o qual destacará de forma fácil os riscos mais comuns de segurança na área das APIs.
+* Criar um portal de documentação para desenvolvedores a construírem APIs de forma segura.
+* Trabalhar próximo à comunidade de segurança para manter vivos os documentos acompanhando as tendências de segurança.
+
+## Líderes do Projeto
+
+* [Erez Yalon][0]
+* [Inon Shkedy][5]
+
+## Tradutores do Projeto
+
+**Português do Brasil**
+
+* [Raphael Hagi][6]
+* [Eduardo Bellis][7]
+* [Bruno Barbosa][8]
+
+
+## Licenciamento
+
+**Os documentos do OWASP API Security Project são livres para uso!**
+
+O projeto OWASP API Security Project é licenciado sob Atribuição-CompartilhaIgual 4.0 Internacional (CC BY-SA 4.0)][1], então você pode copiar, distribuir e transmitir este trabalho. Você também pode adaptá-lo e usá-lo comercialmente, desde que dê os créditos ao trabalho. Se você alterar, transformar ou construir algo a partir deste trabalho, você pode distribuir o fruto desse trabalho apenas sob a mesma licença deste ou licença similar.
+
+[0]: https://www.owasp.org/index.php/User:ErezYalon
+[1]: https://creativecommons.org/licenses/by-sa/4.0/deed.pt_BR
+[2]: https://github.com/OWASP/API-Security/blob/develop/2019/en/dist/owasp-api-security-top-10.pdf
+[3]: https://github.com/OWASP/API-Security/tree/develop/
+[4]: https://github.com/OWASP/API-Security/blob/master/CONTRIBUTING.md
+[5]: https://www.owasp.org/index.php/User:Inon
+[6]: https://www.linkedin.com/in/raphael-hagi/
+[7]: https://www.linkedin.com/in/eduardo-bellis-92482534/
+[8]: https://www.linkedin.com/in/bbarbosa85/

2019/pt-br/dist/owasp-api-security-top-10-pt-br.odt

@@ -0,0 +1,17 @@
+![OWASP LOGO](images/owasp-logo.png)
+
+## Os dez mais críticos riscos de segurança de API
+
+Uma tradução para o português do Brasil do projeto original "The Ten Most Critical API Security Risks"
+
+March 10th, 2020
+
+![OWASP Logo URL TBA](images/front-wasp.png)
+
+| | | |
+| - | - | - |
+| https://owasp.org | Este trabalho é licenciado sob a [Atribuição-CompartilhaIgual 4.0 Internacional (CC BY-SA 4.0)][1] | ![Creative Commons License Logo](images/front-cc.png) |
+
+[1]: https://creativecommons.org/licenses/by-sa/4.0/deed.pt_BR
+
+

2019/pt-br/dist/owasp-api-security-top-10-pt-br.pdf

@@ -0,0 +1,11 @@
+Nota
+======
+
+Esta é a versão em formato texto do projeto "OWASP API Security Top 10", sendo utilizado como fonte da versão oficial distribuída no formato PDF.
+
+Contribuições com o projeto, tais como comentários, correções ou traduções devem ser feitos por aqui. Para mais detalhes, veja o ducumento [Como contribuir][1], consulte também o documento [CONTRIBUTING.md][1].
+
+* Erez Yallon
+* Inon Shkedy
+
+[1]: ../CONTRIBUTING.md

2019/pt-br/src/0x00-header.md

@@ -0,0 +1,24 @@
+Tabela de conteúdo
+==================
+
+* [Tabela de conteúdo](0x00-toc.md)
+* [Sobre o OWASP](0x01-about-owasp.md)
+* [Prefácio](0x02-foreward.md)
+* [Introdução](0x03-introduction.md)
+* [Notas da Versão](0x04-release-notes.md)
+* [Riscos de Segurança de API](0x10-api-security-risks.md)
+* [OWASP Top 10 Riscos de Segurança de API – 2019](0x11-t10.md)
+* [API1:2019 Broken Object Level Authorization](0xa1-broken-object-level-authorization.md)
+* [API2:2019 Broken User Authentication](0xa2-broken-user-authentication.md)
+* [API3:2019 Excessive Data Exposure](0xa3-excessive-data-exposure.md)
+* [API4:2019 Lack of Resources & Rate Limiting](0xa4-lack-of-resources-and-rate-limiting.md)
+* [API5:2019 Broken Function Level Authorization](0xa5-broken-function-level-authorization.md)
+* [API6:2019 Mass Assignment](0xa6-mass-assignment.md)
+* [API7:2019 Security Misconfiguration](0xa7-security-misconfiguration.md)
+* [API8:2019 Injection](0xa8-injection.md)
+* [API9:2019 Improper Assets Management](0xa9-improper-assets-management.md)
+* [API10:2019 Insufficient Logging & Monitoring](0xaa-insufficient-logging-monitoring.md)
+* [Próximos passos para Desenvolvedores](0xb0-next-devs.md)
+* [Próximos passos para DevSecOps](0xb1-next-devsecops.md)
+* [Metodologia e Dados](0xd0-about-data.md)
+* [Agradecimentos](0xd1-acknowledgments.md)

2019/pt-br/src/0x00-notice.md

@@ -0,0 +1,44 @@
+Sobre o OWASP
+=============
+
+OWASP é o acrônimo em inglês para "Open Web Application Security Project", é uma comunidade aberta, dedicada a habilitar as organizações a desenvolver, comprar e manter aplicações e APIs que podem ser confiáveis.
+
+No OWASP, você irá encontrar de forma gratuita e aberta:
+
+*  Ferramentas e padrões de segurança de aplicativos.
+* Livros completos sobre testes de segurança de aplicativos, desenvolvimento seguro de código e revisão de código seguro.
+* Apresentações e [vídeos][1].
+* [Cheat sheets][2] em diversos tópicos.
+* Padrões de controles de segurança e bibliotecas.
+* [Capítulos locais em todo o mundo][3].
+* Pesquisas inovadoras.
+* Extensivas [conferências ao redor do mundo][4].
+* [Listas de e-mail][5].
+
+Saiba mais em: [https://www.owasp.org][6].
+
+No OWASP, todas as ferramentas, documentações, vídeos, apresentações e capítulos são gratuitos e abertos para qualquer um interessado em melhorar a segurança de aplicações
+
+Nós advogamos a abordagem da segurança das aplicações como um problema de pessoas, processos e tecnologia, uma vez que as abordagens mais efetivas na segurança de aplicações necessitam de melhorias nestas áreas.
+
+O OWASP é um novo tipo de organização. Nossa independência de pressão comercial permite-nos prover informações e práticas livres de vieses e de efetivo custo benefício sobre segurança de aplicações.
+
+O OWASP não é afiliado a qualquer empresa de tecnologia, embora nosso suporte ao uso de tecnologias comercias. O OWASP produz diversos materiais de forma colaborativa, transparente e aberta.
+
+A Fundação OWASP é uma entidade não comercial, que encoraja projetos de sucesso há muito tempo. Praticamente todos os envolvidos com o OWASP são voluntários, incluindo os que integram a diretoria, líderes de capítulos, líderes de projetos e membros de cada projeto. Nós apoiamos pesquisas inovadoras de segurança com doações e infraestrutura.
+
+Venha conosco!
+
+## Licença e Copyright
+
+![license](images/license.png)
+
+Copyright © 2003-2019 The OWASP Foundation. Este documento é liberado sob a [Atribuição-CompartilhaIgual 4.0 Internacional (CC BY-SA 4.0)][7]. Para qualquer reuso ou distribuição, tenha certeza à terceiros os termos deste trabalho.
+
+[1]: https://www.youtube.com/user/OWASPGLOBAL
+[2]: https://owasp.org/www-project-cheat-sheets/
+[3]: https://owasp.org/chapters/
+[4]: https://wiki.owasp.org/index.php/Category:OWASP_AppSec_Conference
+[5]: https://lists.owasp.org/mailman/listinfo
+[6]: https://owasp.org/
+[7]: https://creativecommons.org/licenses/by-sa/4.0/deed.pt_BR

2019/pt-br/src/0x00-toc.md

@@ -0,0 +1,27 @@
+Prefácio
+========
+
+Elemento fundamental na inovação nas soluções *app-driven* nos dias de hoje são as APIs (*Application Programming Interface*). Desde os bancos, lojas, transportes, IoT, veículos autônomos e cidades inteligentes, as APIs são parte crítica de soluções modernas de móvel, SaaS, aplicações web em geral, e podem ser encontradas em interfaces com o cliente, parceiros e aplicações internas.
+
+Por natureza, as APIs expõem a lógica dos aplicativos e dados sensíveis, inclusive, dados pessoais sensíveis, e por esta razão, as APIs vem se tornando cada vez mais alvo de atacantes. Sem APIs seguras, inovações podem se tornar impossíveis.
+
+Embora uma ampla avaliação de Top 10 a respeito da segurança de aplicações fala sentido, em razão de suas particularidades, uma lista de riscos de segurança específica para APIs também é um requisito. A segurança de APIs tem foco em estratégias e soluções para a compreensão e mitigação de vulnerabilidades únicas associadas às APIs.
+
+Se você é familiarizado com o projeto [OWASP Top 10][1], irá perceber similaridades entre os dois documentos: Isto é intencional para facilitar a compreensão e adoção. Se você é um novato nas séries Top 10 do OWASP, talvez seja melhor você ler atentamente as seções [Riscos de Segurança de API][2] e [Metodologia e Dados][3] antes.
+
+Você pode contribuir com o projeto OWASP API Security Top 10 com questionamentos, comentários e ideias por meio do repositório do projeto no GitHub:
+
+* https://github.com/OWASP/API-Security/issues
+* https://github.com/OWASP/API-Security/blob/master/CONTRIBUTING.md
+
+Você encontra o OWASP API Security Top 10 aqui:
+
+* https://owasp.org/www-project-api-security/
+* https://github.com/OWASP/API-Security
+
+Nós gostaríamos de agradecer a todos colaboradores que fizeram este projeto possível com seus esforços e contribuições. Todos que participaram estão listados na seção [Agradecimentos][4]. Obrigado!
+
+[1]: https://owasp.org/www-project-top-ten/
+[2]: ./0x10-api-security-risks.md
+[3]: ./0xd0-about-data.md
+[4]: ./0xd1-acknowledgments.md

2019/pt-br/src/0x01-about-owasp.md

@@ -0,0 +1,17 @@
+Introdução
+============
+
+## Seja bem-vindo ao OWASP API Security Top 10 - 2019!
+
+Seja bem-vindo à primeira edição do projeto OWASP API Security Top 10. Se você está familiarizado com a série Top 10 do OWASP, irá perceber certas similaridades: elas são intencionais para melhor leitura a adoção. Se não é o seu caso, considere visitar a [wiki][1] do projeto antes de mergulhar mais profundamente nos mais críticos riscos de segurança de APIs.
+
+As APIs possuem papel fundamental na arquitetura de aplicações modernas. Inovação e consciência de segurança possuem ritmos diferentes. É importante ter foco nas fraquezas mais comuns na segurança de APIs.
+
+O primeiro objetivo do projeto OWASP API Security Top 10 é educar aqueles que estejam envolvidos no desenvolvimento e manutenção de APIs. Podem ser, por exemplo: desenvolvedores, designers, arquitetos, gerentes e organizações.
+
+Na seção [Metodologia e Dados][2] você pode ler mais a respeito de como esta primeira versão foi criada. Em futuras versões, desejamos envolver a indústria da segurança com uma chamada pública para contribuição de dados. Por ora, nós encorajamos todos que possam contribuir com questionamentos, comentários e ideias em nosso [repositório no GitHub][3] ou nossa [lista de e-mails][4].
+
+[1]: https://owasp.org/www-project-api-security/
+[2]: ./0xd0-about-data.md
+[3]: https://github.com/OWASP/API-Security
+[4]: https://groups.google.com/a/owasp.org/forum/#!forum/api-security-project