Segurança nos ciclos de desenvolvimento de softwares

6.601 visualizações

Publicada em

Publicada em: Tecnologia
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
6.601
No SlideShare
0
A partir de incorporações
0
Número de incorporações
3.918
Ações
Compartilhamentos
0
Downloads
71
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Segurança nos ciclos de desenvolvimento de softwares

  1. 1. Segurança nos Ciclos deDesenvolvimento de Softwares Por Luiz Vieira @HackProofing
  2. 2. Quem sou eu?
  3. 3. • Vulnerabilidades• Ataques• Credibilidade• ROI• Janela de exposição• Zero-Day ExploitsSegurança, para quê?
  4. 4. Prevenir ou remediar?
  5. 5. Principais falhas
  6. 6. • Adotar norma ISO/IEC 15.408 como padrão • Seus objetivos são outros, como foco no produto e não em segurança especificamente• Adotar uma abordagem apenas orientada à testes • Esse tipo de abordagem é limitada e não resolve TODAS as questões vinculadas à segurança• Adotar uma abordagem apenas orientada à documentação • Abordagem limitada, que foca em padrões de desenvolvimento e políticas de segurançaPrincipais falhas
  7. 7. Como resolver isso?
  8. 8. • Processo Claro e Estabelecido • Arquitetura Segura• Controle de Demandas e Bugs • Revisão de Design e• Testes e Gestão de Build Arquitetura• Conscientização • Revisão de Código• Capacitação • Testes de Segurança• Requerimentos • Fortalecimento do ambiente• Modelagem de Ameaças de produção • Gestão de Vulnerabilidades • Gestão de Mudanças Melhores alternativas
  9. 9. • Software Assurance Maturity Model (SAMM) é um framework aberto que auxilia organizações a implementar e formular uma estratégia para segurança em softwares. Os recursos providos pelo SAMM são: • Avaliar as práticas de segurança em softwares existentes na organização • Construir um modelo confiável de segurança em software com interações bem definidas • Demonstrar melhorias concretas de um programa confiável de segurança • Definir e mensurar atividades relacionadas à segurança em toda a organizaçãoOpenSAMM
  10. 10. • Comprehensive, Lightweight Application Security Process• Fornece uma abordagem bem organizada e estruturada para lidar com as questões relacionadas a segurança nos estágios iniciais dos ciclos de vida de desenvolvimento de software.CLASP
  11. 11. Visão ConceitualVisão Baseada em FunçõesAvaliação de Atividade Custos de Implementação Aplicabilidade Risco de inaçãoImplementação 24 “Security Activities”Glossário de Vulnerabilidades Consequências, problemas, períodos de exposição, revogação e técnicas de mitigaçãoRecursos AdicionaisOrganização do CLASP
  12. 12. • CLASP – http://www.owasp.org/index.php/Category:OWASP_CLASP_Project• OpenSAMM – http://www.opensamm.org• BSIMM – http://bsimm2.com/online/• OWASP Enterprise Security API – https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API• OWASP Secure Coding Practices– https://www.owasp.org/index.php/OWASP_Secure_Coding_Practices_- _Quick_Reference_Guide Links
  13. 13. Luiz Vieira http://hackproofing.blogspot.com http://www.oys.com.br luizwt@gmail.com luiz.vieira@oys.com.br luiz.vieira@owasp.orgContatos

×