Segurança na Cadeia de
Fornecimento de Software
Por: Leivan de Carvalho
27 e 28 de Março 2014
Centro de Convenções de Tala...
Todos Confiamosno Pai Natal
e nas suas magníficas prendas!
Desenvolvidascom perfeição
pelos seus engenhosos Duendes…
(…) para a alegriados
bem comportados
e tristezados
mal comportados!
 Injecção SQL
 Deficiências no controlo de acesso
 Inputs não validados
 Exposição de dados sensíveis
 Buffer overflo...
Quando são negligenciados
Procedimentos de Segurança
na Cadeia de Fornecimento!
O nível de confiança de que o software está livre
de vulnerabilidades, quer sejam intencionais ou
acidentalmente inseridas...
Cadeia de Fornecimento
de Software
*Figura original em SAFECode.org
Fornecedor de Software
 Software de fabricantes de
equipamentos originais (OEMs)
 Software construído por terceiros
 Repositórios de Open Sour...
Actividades de Engenharia de Software
com ênfase na Segurança
Ciclo de vida de desenvolvimento de
software seguro!
Touchpoints
Implementação pode ser auxiliada com uso de
frameworks
Cenário
Equipa de desenvolvimento
• Metodologia SCRUM
• Estórias de Usuário (Como…Quero…Para)
• Product Backlog
• Sprint B...
Cenário
Estórias de Utilizadores Maliciosas
• Como Entidade maliciosa quero introduzir código malicioso para uso abusivo
d...
Cenário
Tarefas de Segurança
• Modelar ameaças
• Implementar validação de Input
• Encriptar dados dos clientes
• Elaborar ...
*Figura original em SAFECode.org
Cliente conscientee
activo!
Confidencialidade
Integridade
Segurança da
Informação
Disponibilidade
• Projectos de software em Sectores Estratégicos para Soberania do
Estado (Defesa, Energia, Minas e Administração do Terri...
Leivan de Carvalho
Muito Obrigado!
E-mail: geral@kalueki.com
Website: www.kalueki.com
Consultor de Engenharia de Software ...
Segurança na Cadeia de Fornecimento de Software
Segurança na Cadeia de Fornecimento de Software
Segurança na Cadeia de Fornecimento de Software
Segurança na Cadeia de Fornecimento de Software
Segurança na Cadeia de Fornecimento de Software
Segurança na Cadeia de Fornecimento de Software
Segurança na Cadeia de Fornecimento de Software
Segurança na Cadeia de Fornecimento de Software
Segurança na Cadeia de Fornecimento de Software
Segurança na Cadeia de Fornecimento de Software
Segurança na Cadeia de Fornecimento de Software
Segurança na Cadeia de Fornecimento de Software
Próximos SlideShares
Carregando em…5
×

Segurança na Cadeia de Fornecimento de Software

411 visualizações

Publicada em

Consciencialização sobre a responsabilidade partilhada entre fornecedores e clientes na garantia da segurança do software desde a concepção até a implantação, perfazendo a cadeia de fornecimento de software.

Publicada em: Software
0 comentários
1 gostou
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
411
No SlideShare
0
A partir de incorporações
0
Número de incorporações
4
Ações
Compartilhamentos
0
Downloads
7
Comentários
0
Gostaram
1
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Segurança na Cadeia de Fornecimento de Software

  1. 1. Segurança na Cadeia de Fornecimento de Software Por: Leivan de Carvalho 27 e 28 de Março 2014 Centro de Convenções de Talatona Luanda - Angola
  2. 2. Todos Confiamosno Pai Natal e nas suas magníficas prendas!
  3. 3. Desenvolvidascom perfeição pelos seus engenhosos Duendes…
  4. 4. (…) para a alegriados bem comportados e tristezados mal comportados!
  5. 5.  Injecção SQL  Deficiências no controlo de acesso  Inputs não validados  Exposição de dados sensíveis  Buffer overflows  Configurações de segurança incorretas  … Vulnerabilidades
  6. 6. Quando são negligenciados Procedimentos de Segurança na Cadeia de Fornecimento!
  7. 7. O nível de confiança de que o software está livre de vulnerabilidades, quer sejam intencionais ou acidentalmente inseridas em qualquer momento durante seu ciclo de vida; e de que o software funciona da maneira pretendida.
  8. 8. Cadeia de Fornecimento de Software *Figura original em SAFECode.org
  9. 9. Fornecedor de Software
  10. 10.  Software de fabricantes de equipamentos originais (OEMs)  Software construído por terceiros  Repositórios de Open Source Software Verificaçãodos componentes que são integrados nos produtos
  11. 11. Actividades de Engenharia de Software com ênfase na Segurança
  12. 12. Ciclo de vida de desenvolvimento de software seguro!
  13. 13. Touchpoints Implementação pode ser auxiliada com uso de frameworks
  14. 14. Cenário Equipa de desenvolvimento • Metodologia SCRUM • Estórias de Usuário (Como…Quero…Para) • Product Backlog • Sprint Backlog • Tarefas Sistema Crítico • Disponibilidade a 100% • Máximo de sigilo • Gestão dos participantes
  15. 15. Cenário Estórias de Utilizadores Maliciosas • Como Entidade maliciosa quero introduzir código malicioso para uso abusivo do sistema • Como Entidade maliciosa quero criar falsos registros de participantes automaticamente para provocar negação de serviços e uso abusivo do sistema • Como Entidade maliciosa quero obter informações técnicas sobre o sistema para causar danos Estórias de Utilizadores • Como dono quero visualizar as apostas em tempo real para ter noção do fluxo de receitas • Como dono quero eliminar concursos com elevadas vitórias para controlar os riscos
  16. 16. Cenário Tarefas de Segurança • Modelar ameaças • Implementar validação de Input • Encriptar dados dos clientes • Elaborar casos de testes de segurança na UI Cliente • Eliminar definições default no Ambiente de Produção • …
  17. 17. *Figura original em SAFECode.org
  18. 18. Cliente conscientee activo!
  19. 19. Confidencialidade Integridade Segurança da Informação Disponibilidade
  20. 20. • Projectos de software em Sectores Estratégicos para Soberania do Estado (Defesa, Energia, Minas e Administração do Território) sem acompanhamento especializado e independente à nível da segurança da informação • Não adopção de metodologias de desenvolvimento de software seguro pelas equipas em organismos públicos e privados • Acesso às informações críticas sem níveis de privilégios estabelecidos • Divulgação das tecnologias sensíveis utilizadas em sistemas desenvolvidos • Uso de Dados de Produção em ambientes de Testes e Desenvolvimento desrespeitando políticas e boas práticas • Não utilização de métodos para inspeção de código em tarefas de Testes e Verificação • …
  21. 21. Leivan de Carvalho Muito Obrigado! E-mail: geral@kalueki.com Website: www.kalueki.com Consultor de Engenharia de Software & Segurança

×