SDL e Testes de Segurança

•

10 likes•3,501 views

O documento discute a importância da segurança no desenvolvimento de software, apresentando o ciclo de vida seguro (SDL) e abordagens de teste de segurança. O SDL garante que a segurança seja considerada desde o início do desenvolvimento até o lançamento do software. Testes de segurança como fuzzing e modelagem de ameaças ajudam a identificar vulnerabilidades e corrigi-las de forma proativa.

Segurança em Desenvolvimento de Software Wagner Elias, SANS GIAC, CBCP Gerente de Pesquisa e Desenvolvimento

Agenda ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]

É mais barato identificar e corrigir de forma proativa Custo para corrigir uma vulnerabilidade Baseado no estágio que ela foi identificada $139 $455 $977 $7,136 $14,102 Fonte: "Software Defect Reduction Top 10 List," IEEE Computer, IEEE Computer Society

A maioria das aplicações possuem falhas de segurança ,[object Object],[object Object]

[object Object],[object Object],[object Object],[object Object],[object Object],Requisitos

[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],Design

[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],Implementação

[object Object],[object Object],[object Object],[object Object],Verificação

[object Object],[object Object],Lançamento

[object Object],[object Object],[object Object],[object Object],Fase de resposta

Abordagens de Testes de Segurança de Software

[object Object],[object Object],[object Object],Classificação dos testes

[object Object],[object Object],[object Object],[object Object],[object Object],White-Box

[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],Black-Box

[object Object],[object Object],[object Object],Fuzzing

Criando planos de testes com base na Modelagem de Ameaças

[object Object],[object Object],[object Object],[object Object],Modelagem de Ameaças

[object Object],[object Object],[object Object],[object Object],Conclusões

[object Object],[object Object],[object Object],Referências

Perguntas? ,[object Object],[object Object],[object Object],Associe-se OWASP (Open Web Application Security Project) http://www.owasp.org ISSA (Information System Security Association) http://www. issabrasil.org

What's hot

DevSecOps Jenkins Pipeline -Securityn|u - The Open Security Community

Security in the Software Development Life Cycle (SDLC)Frances Coronel

Shift Left SecurityBATbern

SAST vs. DAST: What’s the Best Method For Application Security Testing?Cigital

DevSecOps Implementation JourneyDevOps Indonesia

DevSecOps on AzureSeven Peaks Speaks

Software Composition Analysis Deep DiveUlisses Albuquerque

Secure Code Review 101Narudom Roongsiriwong, CISSP

DevSecOps Singapore introductionStefan Streichsbier

Qualidade de Software: Teste de softwareAlex Camargo

Istqb 1-소프트웨어테스팅기초-2015Jongwon Lee

SonarQube - Como avaliar seus fornecedores e garantir a qualidade de suas ent...Igor Rosa Macedo

MITRE ATT&CK Updates: ICSMITRE ATT&CK

Fundamentos de Testes de SoftwareÁlvaro Farias Pinheiro

Software testingbalamurugan.k Kalibalamurugan

DevSecOps: Key Controls to Modern Security SuccessPuma Security, LLC

Palestra: Fundamentos do Desenvolvimento Seguro de SoftwaresAndre Henrique

Teste de softwareDaniel Paulo de Assis

The Current ICS Threat LandscapeDragos, Inc.

SOC and SIEM.pptxSandeshUprety4

What's hot (20)

DevSecOps Jenkins Pipeline -Security

Security in the Software Development Life Cycle (SDLC)

Shift Left Security

SAST vs. DAST: What’s the Best Method For Application Security Testing?

DevSecOps Implementation Journey

DevSecOps on Azure

Software Composition Analysis Deep Dive

Secure Code Review 101

DevSecOps Singapore introduction

Qualidade de Software: Teste de software

Istqb 1-소프트웨어테스팅기초-2015

SonarQube - Como avaliar seus fornecedores e garantir a qualidade de suas ent...

MITRE ATT&CK Updates: ICS

Fundamentos de Testes de Software

Software testing

DevSecOps: Key Controls to Modern Security Success

Palestra: Fundamentos do Desenvolvimento Seguro de Softwares

Teste de software

The Current ICS Threat Landscape

SOC and SIEM.pptx

Viewers also liked

Engenharia de Software II - Teste de segurança de softwareJuliano Padilha

Open SansVero Marileo

Norato FrameworkPaullo Norato

Trabajo Práctico Amarimolto

QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWAREFabiano Souza

BIA - Business Impact AnalysisAllan Piter Pressi

Aula 4 - Plano de Continuidade de Negócios (PCN)Carlos Henrique Martins da Silva

Tipos de Licença de SoftwaresLucas Castejon

MRV Acre por Monica de Los Rios- Treinamento GCF- MacapáIdesam

Klinische Fallpraesentation CrystalGuide Dr. Danny DomingueMichael Gross

Présentation syndrome coronaire ST+( stemi) (dc et trt ) Reghmit 2017idriss rg

Functional Music Compositionnagachika t

Reducción de Riesgos y Daños asociados al uso de tabacoUrbano Vázquez Fernández

SESEC HeizungDITF Denkendorf

Ahorro del 15% en la gestión de residuos en el Hospital de BarcelonaManuel A. Velazquez

Albert Guisasola (UAB) - SISTEMES BIOELECTROQUÍMICS, UN LÍNIA DE RECERCA PER ...xrbiotech

20140711 g salisbury_en_soGerald Allen von Stein-Salisbury

Apresentação IaaS SaaS PaaS CorpFlexJoao_Alfredo

Evitando el despilfarro en la gestión de las bodegasManuel A. Velazquez

Enginerator go customizedBOHEZ concept & support NV

Viewers also liked (20)

Engenharia de Software II - Teste de segurança de software

Open Sans

Norato Framework

Trabajo Práctico A

QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE

BIA - Business Impact Analysis

Aula 4 - Plano de Continuidade de Negócios (PCN)

Tipos de Licença de Softwares

MRV Acre por Monica de Los Rios- Treinamento GCF- Macapá

Klinische Fallpraesentation CrystalGuide Dr. Danny Domingue

Présentation syndrome coronaire ST+( stemi) (dc et trt ) Reghmit 2017

Functional Music Composition

Reducción de Riesgos y Daños asociados al uso de tabaco

SESEC Heizung

Ahorro del 15% en la gestión de residuos en el Hospital de Barcelona

Albert Guisasola (UAB) - SISTEMES BIOELECTROQUÍMICS, UN LÍNIA DE RECERCA PER ...

20140711 g salisbury_en_so

Apresentação IaaS SaaS PaaS CorpFlex

Evitando el despilfarro en la gestión de las bodegas

Enginerator go customized

Similar to SDL e Testes de Segurança

Dss 3Jean Carlos da Silva

O processo de segurança em desenvolvimento, que não é ISO 15.408Conviso Application Security

Aula18_V&VTesteSoftware.pdfMichaelArrais1

Testes de Segurança de Software (tech-ed 2008)Conviso Application Security

Defesa BeckerChristian Becker

Software SeguroRafael Alves

Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc

Conceitos e fundamentos sobre testes de software e garantia da qualidaderzauza

Java securityarmeniocardoso

Be Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TISymantec Brasil

Katana Security - Consultoria em Segurança da InformaçãoMagno Logan

Segurança nos ciclos de desenvolvimento de softwaresLuiz Vieira .´. CISSP, OSCE, GXPN, CEH

Final Project (2013): Test-Driven Development applied on web applicationsLuiz Henrique

Engenharia de TestesUFPA

Aula11.pdfMaritzaDiaz76

Teste de softwareNylce Garcia

PCI DSS e Metodologias ÁgeisUlisses Albuquerque

[GUTS-RS] - Testes de Segurança: O que preciso saber para planejarGUTS-RS

Testes FuncionaisJuliana Maria Lopes

(2) O Processo de Gerenciamento de Vulnerabilidades WebKeySupport Consultoria e Informática Ltda

Similar to SDL e Testes de Segurança (20)

Dss 3

O processo de segurança em desenvolvimento, que não é ISO 15.408

Aula18_V&VTesteSoftware.pdf

Testes de Segurança de Software (tech-ed 2008)

Defesa Becker

Software Seguro

Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...

Conceitos e fundamentos sobre testes de software e garantia da qualidade

Java security

Be Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TI

Katana Security - Consultoria em Segurança da Informação

Segurança nos ciclos de desenvolvimento de softwares

Final Project (2013): Test-Driven Development applied on web applications

Engenharia de Testes

Aula11.pdf

Teste de software

PCI DSS e Metodologias Ágeis

[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar

Testes Funcionais

(2) O Processo de Gerenciamento de Vulnerabilidades Web

More from Conviso Application Security

Entendendo o PCI-DSSConviso Application Security

Integrando testes de segurança ao processo de desenvolvimento de softwareConviso Application Security

Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações? Conviso Application Security

“Web Spiders” – Automação para Web HackingConviso Application Security

Building Client-Side Attacks with HTML5 FeaturesConviso Application Security

Você Escreve Código e Quem Valida?Conviso Application Security

Testar não é suficiente. Tem que fazer direito!Conviso Application Security

Implementando Segurança em desenvolvimento com a verdadeira ISOConviso Application Security

Automatizando a análise passiva de aplicações WebConviso Application Security

Você confia nas suas aplicações mobile?Conviso Application Security

Pentest em Aplicações MóveisConviso Application Security

MASP: Um processo racional para garantir o nível de proteção das aplicações w...Conviso Application Security

HTML5 Seguro ou Inseguro?Conviso Application Security

Threats from economical improvement rss 2010Conviso Application Security

Encontrando falhas em aplicações web baseadas em flashConviso Application Security

Protegendo Aplicações Php com PHPIDS - Php Conference 2009Conviso Application Security

Playing Web Fuzzing - H2HC 2009Conviso Application Security

OWASP Top 10 e aplicações .Net - Tech-Ed 2007Conviso Application Security

Abotoaduras & BonésConviso Application Security

Tratando as vulnerabilidades do Top 10 com phpConviso Application Security

More from Conviso Application Security (20)

Entendendo o PCI-DSS

Integrando testes de segurança ao processo de desenvolvimento de software

Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?

“Web Spiders” – Automação para Web Hacking

Building Client-Side Attacks with HTML5 Features

Você Escreve Código e Quem Valida?

Testar não é suficiente. Tem que fazer direito!

Implementando Segurança em desenvolvimento com a verdadeira ISO

Automatizando a análise passiva de aplicações Web

Você confia nas suas aplicações mobile?

Pentest em Aplicações Móveis

MASP: Um processo racional para garantir o nível de proteção das aplicações w...

HTML5 Seguro ou Inseguro?

Threats from economical improvement rss 2010

Encontrando falhas em aplicações web baseadas em flash

Protegendo Aplicações Php com PHPIDS - Php Conference 2009

Playing Web Fuzzing - H2HC 2009

OWASP Top 10 e aplicações .Net - Tech-Ed 2007

Abotoaduras & Bonés

Tratando as vulnerabilidades do Top 10 com php