Carregado porMaritzaDiaz76
13 visualizações

Aula11.pdf

O documento discute a integração da segurança ao processo de desenvolvimento de software. Apresenta o ciclo de vida de desenvolvimento seguro, que incorpora práticas de segurança em cada etapa, como análise de riscos e testes de vulnerabilidades. Também discute mitos e fatos sobre segurança e lista as 10 vulnerabilidades mais críticas. Defende que quanto mais cedo a segurança for incorporada, menores serão os riscos de incidentes.

Incorporar apresentação

Baixar para ler offline
Aula 11 Integrando Segurança ao Processo de Desenvolvimento de Software Prof. Leonardo Lemes Fagundes
A educação faz com que as pessoas sejam fáceis de guiar, mas difíceis de arrastar; fáceis de governar, mas impossíveis de escravizar. Peter Drucker
 Divulgação das Notas do Grau A  Introdução  Panorama Geral Sobre Vulnerabilidades  Ciclo de Vida de Desenvolvimento Seguro  Considerações Finais  Referências Bibliográficas Agenda
 Entendendo o Contexto Atual  Surgimento de vulnerabilidades em larga escala;  Toolkits para ataques disponíveis na Internet;  Busca por conformidade (aspectos legais, padrões e normas); Introdução
 Entendendo o Contexto Atual (continuação ...)  Alguns Mitos  Desenvolvedores versus Analistas de Segurança;  A linguagem “X” é mais segura que “Y”;  Alguns Fatos  Falta qualificação técnica das equipes;  O processo de desenvolvimento precisa ser revisto; Introdução
 A natureza das vulnerabilidades  Bugs de Projeto  Bugs de Implementação  Aplicação  Plataforma / Arquitetura  Bugs de Configuração Panorama Geral Sobre Vulnerabilidades
1. Code Injection 2. Cross Site Scripting 3. Broken Authentication and Session Management 4. Insecure Direct Object References 5. Cross Site Request Forgery (CSRF) Panorama Geral Sobre Vulnerabilidades 6. Security Misconfiguration 7. Failure to Restrict URL Access 8. Unvalidated Redirects 9. Insecure Cryptographic Storage 10. Insufficient Transport Layer Protection OWASP TOP 10 (2010) Fonte: Owasp Top 10 – 2010 rc1
 SoftwareDevelopment Life Cycle (SDLC)  Framework que descreve as atividades de cada um dos estágios de um projeto de desenvolvimento de software.  Diferentes metodologias de desenvolvimento.  Estágios: Requisitos, Projeto, Implementação, Teste, Manutenção Ciclo de Vida de Desenvolvimento de Software
 SecurityDevelopment Lifecycle (SDL)  Conjunto de práticas de segurança da informação incorporados aos estágios de um processo de desenvolvimento de software. Ciclo de Vida de Desenvolvimento de Software
Ciclo de Vida de Desenvolvimento de Software Seguro Requisitos • Identificação dos requisitos de segurança; • Identificar os tipos de informações; • Identificar a categoria do sistema; • Análise e avaliação de riscos preliminares;
Ciclo de Vida de Desenvolvimento de Software Seguro Projeto • Análise e avaliação de riscos; • Modelagem de ameaças; • Seleção de controles; • Definição da arquitetura de segurança;
Ciclo de Vida de Desenvolvimento de Software Seguro Codificação • Análise e avaliação de riscos; • Análise estática; • Lista aprovada de ferramentas; • Lista de funções e bibliotecas inseguras / proibidas;
Ciclo de Vida de Desenvolvimento de Software Seguro Verificação • Análise e avaliação de riscos; • Definir planos / estratégicas de teste; • Análise dinâmica • Análise de vulnerabilidades
Ciclo de Vida de Desenvolvimento de Software Seguro Liberação • Análise e avaliação de riscos; • Revisão “Final” de Segurança; • Planos de resposta a incidentes;
Ciclo de Vida de Desenvolvimento de Software Seguro Resposta • Execução do plano de resposta a incidentes;
 Quanto mais cedo forem incorporados os controles de segurança ao processo de desenvolvimento de software, menores os riscos de incidentes, melhor será o processo;  Convém que o processo de integração entre segurança da informação e o desenvolvimento de software seja flexível. Considerações Finais
Considerações Finais
 Conjunto de práticas que podem auxiliar ao ciclo de vida de desenvolvimento de software seguro:  Systems Security Engineering Capability Maturity Model (SSE-CMM);  Software Assurance Forum for Excellence in Code (SAFEcode);  Security Quality Requirements Engineering (SQUARE);  Security Requirements Engineering Process (SREP);  Common Criteria (CC) ; Considerações Finais
Anexo A – Abuse Case
Anexo B – Attack Trees
Anexo C – Modelagem de Ameaças
Anexo D – Modelagem de Ameaças
Referências

Mais conteúdo relacionado

PDF
Dss 3
porJean Carlos da Silva
 
PPT
O processo de segurança em desenvolvimento, que não é ISO 15.408
porConviso Application Security
 
PPT
Segurança em Desenvolvimento de Software
porConviso Application Security
 
PDF
Segurança nos ciclos de desenvolvimento de softwares
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
PDF
Aula 2 final
porAndré Constantino da Silva
 
PDF
2019 04-25 - ciclo de desenvolvimento seguro pessoas processos ferramentas
porGustavo Lichti Mendonça
 
PDF
Segurança em desenvolvimento de software
porJeronimo Zucco
 
PDF
Validando a Segurança de Software
porJeronimo Zucco
 
Dss 3
porJean Carlos da Silva
 
O processo de segurança em desenvolvimento, que não é ISO 15.408
porConviso Application Security
 
Segurança em Desenvolvimento de Software
porConviso Application Security
 
Segurança nos ciclos de desenvolvimento de softwares
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Aula 2 final
porAndré Constantino da Silva
 
2019 04-25 - ciclo de desenvolvimento seguro pessoas processos ferramentas
porGustavo Lichti Mendonça
 
Segurança em desenvolvimento de software
porJeronimo Zucco
 
Validando a Segurança de Software
porJeronimo Zucco
 

Semelhante a Aula11.pdf

PPT
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
porFabiano Souza
 
PDF
Por quê o software continua inseguro?
porVinicius Oliveira Ferreira
 
PPT
Entendendo o Ciclo de Desenvolvimento Seguro
porKleitor Franklint Correa Araujo
 
PDF
Filosofia De Desenvolvimento De Software
porSérgio Luiz Jordão
 
PPT
Aula1 introducao engsw
porComputação Depressão
 
PDF
Engenharia de Software - Unimep/Pronatec - Aula 4
porAndré Phillip Bertoletti
 
PPS
Ciclo de Vida
porWagner Zaparoli
 
PPTX
Aula 2 - Engenharia de Software - Slide.
porWeslley lira
 
PPT
Aula 1 introdução à engenharia de software1 (1)
porTiago Vizoto
 
PDF
Aula01 aula alua aula aulaaa- 19 02.pdf
porDenivalSouza1
 
PPTX
Segurança de Software - Um olhar para além das linhas de código!
porLeivan Carvalho
 
PDF
Introdução à Engenharia de Software
porNécio de Lima Veras
 
ODP
Como desenvolver-software
porFábio Nogueira de Lucena
 
PPT
Aula2 processos sw
porComputação Depressão
 
PDF
Segurança no desenvolvimento de software.pdf
pormarianaestela19
 
PPT
Analise e desenvolvimento
porGabriel Moura
 
PDF
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
porErick Belluci Tedeschi
 
PDF
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
porBruno Motta Rego
 
PPTX
PCI DSS e Metodologias Ágeis
porUlisses Albuquerque
 
PPT
Testes de Segurança de Software (tech-ed 2008)
porConviso Application Security
 
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
porFabiano Souza
 
Por quê o software continua inseguro?
porVinicius Oliveira Ferreira
 
Entendendo o Ciclo de Desenvolvimento Seguro
porKleitor Franklint Correa Araujo
 
Filosofia De Desenvolvimento De Software
porSérgio Luiz Jordão
 
Aula1 introducao engsw
porComputação Depressão
 
Engenharia de Software - Unimep/Pronatec - Aula 4
porAndré Phillip Bertoletti
 
Ciclo de Vida
porWagner Zaparoli
 
Aula 2 - Engenharia de Software - Slide.
porWeslley lira
 
Aula 1 introdução à engenharia de software1 (1)
porTiago Vizoto
 
Aula01 aula alua aula aulaaa- 19 02.pdf
porDenivalSouza1
 
Segurança de Software - Um olhar para além das linhas de código!
porLeivan Carvalho
 
Introdução à Engenharia de Software
porNécio de Lima Veras
 
Como desenvolver-software
porFábio Nogueira de Lucena
 
Aula2 processos sw
porComputação Depressão
 
Segurança no desenvolvimento de software.pdf
pormarianaestela19
 
Analise e desenvolvimento
porGabriel Moura
 
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
porErick Belluci Tedeschi
 
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
porBruno Motta Rego
 
PCI DSS e Metodologias Ágeis
porUlisses Albuquerque
 
Testes de Segurança de Software (tech-ed 2008)
porConviso Application Security
 

Aula11.pdf

  • 1.
    Aula 11 Integrando Segurançaao Processo de Desenvolvimento de Software Prof. Leonardo Lemes Fagundes
  • 2.
    A educação fazcom que as pessoas sejam fáceis de guiar, mas difíceis de arrastar; fáceis de governar, mas impossíveis de escravizar. Peter Drucker
  • 3.
     Divulgação dasNotas do Grau A  Introdução  Panorama Geral Sobre Vulnerabilidades  Ciclo de Vida de Desenvolvimento Seguro  Considerações Finais  Referências Bibliográficas Agenda
  • 4.
     Entendendo oContexto Atual  Surgimento de vulnerabilidades em larga escala;  Toolkits para ataques disponíveis na Internet;  Busca por conformidade (aspectos legais, padrões e normas); Introdução
  • 5.
     Entendendo oContexto Atual (continuação ...)  Alguns Mitos  Desenvolvedores versus Analistas de Segurança;  A linguagem “X” é mais segura que “Y”;  Alguns Fatos  Falta qualificação técnica das equipes;  O processo de desenvolvimento precisa ser revisto; Introdução
  • 6.
     A naturezadas vulnerabilidades  Bugs de Projeto  Bugs de Implementação  Aplicação  Plataforma / Arquitetura  Bugs de Configuração Panorama Geral Sobre Vulnerabilidades
  • 7.
    1. Code Injection 2.Cross Site Scripting 3. Broken Authentication and Session Management 4. Insecure Direct Object References 5. Cross Site Request Forgery (CSRF) Panorama Geral Sobre Vulnerabilidades 6. Security Misconfiguration 7. Failure to Restrict URL Access 8. Unvalidated Redirects 9. Insecure Cryptographic Storage 10. Insufficient Transport Layer Protection OWASP TOP 10 (2010) Fonte: Owasp Top 10 – 2010 rc1
  • 8.
     SoftwareDevelopment LifeCycle (SDLC)  Framework que descreve as atividades de cada um dos estágios de um projeto de desenvolvimento de software.  Diferentes metodologias de desenvolvimento.  Estágios: Requisitos, Projeto, Implementação, Teste, Manutenção Ciclo de Vida de Desenvolvimento de Software
  • 9.
     SecurityDevelopment Lifecycle(SDL)  Conjunto de práticas de segurança da informação incorporados aos estágios de um processo de desenvolvimento de software. Ciclo de Vida de Desenvolvimento de Software
  • 10.
    Ciclo de Vidade Desenvolvimento de Software Seguro Requisitos • Identificação dos requisitos de segurança; • Identificar os tipos de informações; • Identificar a categoria do sistema; • Análise e avaliação de riscos preliminares;
  • 11.
    Ciclo de Vidade Desenvolvimento de Software Seguro Projeto • Análise e avaliação de riscos; • Modelagem de ameaças; • Seleção de controles; • Definição da arquitetura de segurança;
  • 12.
    Ciclo de Vidade Desenvolvimento de Software Seguro Codificação • Análise e avaliação de riscos; • Análise estática; • Lista aprovada de ferramentas; • Lista de funções e bibliotecas inseguras / proibidas;
  • 13.
    Ciclo de Vidade Desenvolvimento de Software Seguro Verificação • Análise e avaliação de riscos; • Definir planos / estratégicas de teste; • Análise dinâmica • Análise de vulnerabilidades
  • 14.
    Ciclo de Vidade Desenvolvimento de Software Seguro Liberação • Análise e avaliação de riscos; • Revisão “Final” de Segurança; • Planos de resposta a incidentes;
  • 15.
    Ciclo de Vidade Desenvolvimento de Software Seguro Resposta • Execução do plano de resposta a incidentes;
  • 17.
     Quanto maiscedo forem incorporados os controles de segurança ao processo de desenvolvimento de software, menores os riscos de incidentes, melhor será o processo;  Convém que o processo de integração entre segurança da informação e o desenvolvimento de software seja flexível. Considerações Finais
  • 18.
  • 19.
     Conjunto depráticas que podem auxiliar ao ciclo de vida de desenvolvimento de software seguro:  Systems Security Engineering Capability Maturity Model (SSE-CMM);  Software Assurance Forum for Excellence in Code (SAFEcode);  Security Quality Requirements Engineering (SQUARE);  Security Requirements Engineering Process (SREP);  Common Criteria (CC) ; Considerações Finais
  • 20.
    Anexo A –Abuse Case
  • 21.
    Anexo B –Attack Trees
  • 22.
    Anexo C –Modelagem de Ameaças
  • 23.
    Anexo D –Modelagem de Ameaças
  • 24.