Segurança na Cadeia de Fornecimento de Software
Upcoming SlideShare
Loading in...5
×
 

Segurança na Cadeia de Fornecimento de Software

on

  • 205 views

Consciencialização sobre a responsabilidade partilhada entre fornecedores e clientes na garantia da segurança do software desde a concepção até a implantação, perfazendo a cadeia de ...

Consciencialização sobre a responsabilidade partilhada entre fornecedores e clientes na garantia da segurança do software desde a concepção até a implantação, perfazendo a cadeia de fornecimento de software.

Statistics

Views

Total Views
205
Views on SlideShare
205
Embed Views
0

Actions

Likes
1
Downloads
5
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Segurança na Cadeia de Fornecimento de Software Segurança na Cadeia de Fornecimento de Software Presentation Transcript

  • Segurança na Cadeia de Fornecimento de Software Por: Leivan de Carvalho 27 e 28 de Março 2014 Centro de Convenções de Talatona Luanda - Angola
  • Todos Confiamosno Pai Natal e nas suas magníficas prendas!
  • Desenvolvidascom perfeição pelos seus engenhosos Duendes… View slide
  • (…) para a alegriados bem comportados e tristezados mal comportados! View slide
  •  Injecção SQL  Deficiências no controlo de acesso  Inputs não validados  Exposição de dados sensíveis  Buffer overflows  Configurações de segurança incorretas  … Vulnerabilidades
  • Quando são negligenciados Procedimentos de Segurança na Cadeia de Fornecimento!
  • O nível de confiança de que o software está livre de vulnerabilidades, quer sejam intencionais ou acidentalmente inseridas em qualquer momento durante seu ciclo de vida; e de que o software funciona da maneira pretendida.
  • Cadeia de Fornecimento de Software *Figura original em SAFECode.org
  • Fornecedor de Software
  •  Software de fabricantes de equipamentos originais (OEMs)  Software construído por terceiros  Repositórios de Open Source Software Verificaçãodos componentes que são integrados nos produtos
  • Actividades de Engenharia de Software com ênfase na Segurança
  • Ciclo de vida de desenvolvimento de software seguro!
  • Touchpoints Implementação pode ser auxiliada com uso de frameworks
  • Cenário Equipa de desenvolvimento • Metodologia SCRUM • Estórias de Usuário (Como…Quero…Para) • Product Backlog • Sprint Backlog • Tarefas Sistema Crítico • Disponibilidade a 100% • Máximo de sigilo • Gestão dos participantes
  • Cenário Estórias de Utilizadores Maliciosas • Como Entidade maliciosa quero introduzir código malicioso para uso abusivo do sistema • Como Entidade maliciosa quero criar falsos registros de participantes automaticamente para provocar negação de serviços e uso abusivo do sistema • Como Entidade maliciosa quero obter informações técnicas sobre o sistema para causar danos Estórias de Utilizadores • Como dono quero visualizar as apostas em tempo real para ter noção do fluxo de receitas • Como dono quero eliminar concursos com elevadas vitórias para controlar os riscos
  • Cenário Tarefas de Segurança • Modelar ameaças • Implementar validação de Input • Encriptar dados dos clientes • Elaborar casos de testes de segurança na UI Cliente • Eliminar definições default no Ambiente de Produção • …
  • *Figura original em SAFECode.org
  • Cliente conscientee activo!
  • Confidencialidade Integridade Segurança da Informação Disponibilidade
  • • Projectos de software em Sectores Estratégicos para Soberania do Estado (Defesa, Energia, Minas e Administração do Território) sem acompanhamento especializado e independente à nível da segurança da informação • Não adopção de metodologias de desenvolvimento de software seguro pelas equipas em organismos públicos e privados • Acesso às informações críticas sem níveis de privilégios estabelecidos • Divulgação das tecnologias sensíveis utilizadas em sistemas desenvolvidos • Uso de Dados de Produção em ambientes de Testes e Desenvolvimento desrespeitando políticas e boas práticas • Não utilização de métodos para inspeção de código em tarefas de Testes e Verificação • …
  • Leivan de Carvalho Muito Obrigado! E-mail: geral@kalueki.com Website: www.kalueki.com Consultor de Engenharia de Software & Segurança