Segurança nos ciclos de desenvolvimento de softwares

6,635 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
6,635
On SlideShare
0
From Embeds
0
Number of Embeds
3,918
Actions
Shares
0
Downloads
72
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Segurança nos ciclos de desenvolvimento de softwares

  1. 1. Segurança nos Ciclos deDesenvolvimento de Softwares Por Luiz Vieira @HackProofing
  2. 2. Quem sou eu?
  3. 3. • Vulnerabilidades• Ataques• Credibilidade• ROI• Janela de exposição• Zero-Day ExploitsSegurança, para quê?
  4. 4. Prevenir ou remediar?
  5. 5. Principais falhas
  6. 6. • Adotar norma ISO/IEC 15.408 como padrão • Seus objetivos são outros, como foco no produto e não em segurança especificamente• Adotar uma abordagem apenas orientada à testes • Esse tipo de abordagem é limitada e não resolve TODAS as questões vinculadas à segurança• Adotar uma abordagem apenas orientada à documentação • Abordagem limitada, que foca em padrões de desenvolvimento e políticas de segurançaPrincipais falhas
  7. 7. Como resolver isso?
  8. 8. • Processo Claro e Estabelecido • Arquitetura Segura• Controle de Demandas e Bugs • Revisão de Design e• Testes e Gestão de Build Arquitetura• Conscientização • Revisão de Código• Capacitação • Testes de Segurança• Requerimentos • Fortalecimento do ambiente• Modelagem de Ameaças de produção • Gestão de Vulnerabilidades • Gestão de Mudanças Melhores alternativas
  9. 9. • Software Assurance Maturity Model (SAMM) é um framework aberto que auxilia organizações a implementar e formular uma estratégia para segurança em softwares. Os recursos providos pelo SAMM são: • Avaliar as práticas de segurança em softwares existentes na organização • Construir um modelo confiável de segurança em software com interações bem definidas • Demonstrar melhorias concretas de um programa confiável de segurança • Definir e mensurar atividades relacionadas à segurança em toda a organizaçãoOpenSAMM
  10. 10. • Comprehensive, Lightweight Application Security Process• Fornece uma abordagem bem organizada e estruturada para lidar com as questões relacionadas a segurança nos estágios iniciais dos ciclos de vida de desenvolvimento de software.CLASP
  11. 11. Visão ConceitualVisão Baseada em FunçõesAvaliação de Atividade Custos de Implementação Aplicabilidade Risco de inaçãoImplementação 24 “Security Activities”Glossário de Vulnerabilidades Consequências, problemas, períodos de exposição, revogação e técnicas de mitigaçãoRecursos AdicionaisOrganização do CLASP
  12. 12. • CLASP – http://www.owasp.org/index.php/Category:OWASP_CLASP_Project• OpenSAMM – http://www.opensamm.org• BSIMM – http://bsimm2.com/online/• OWASP Enterprise Security API – https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API• OWASP Secure Coding Practices– https://www.owasp.org/index.php/OWASP_Secure_Coding_Practices_- _Quick_Reference_Guide Links
  13. 13. Luiz Vieira http://hackproofing.blogspot.com http://www.oys.com.br luizwt@gmail.com luiz.vieira@oys.com.br luiz.vieira@owasp.orgContatos

×