Segurança no Desenvolvimento de Software

50 %
50 %
Information about Segurança no Desenvolvimento de Software
Technology

Published on December 8, 2008

Author: marcelomf

Source: slideshare.net

Description

Apresentação sobre SDL/CLASSP realizada em uma aula de graduação em analise de sistema.

Segurança no desenvolvimento  de software Marcelo M. Fleury …  #GOPHP, #GOJAVA,  #PSL­GO, #FUG­BR, #CISSP­BR … marcelomf@gmail.com http://marcelomf.blogspot.com    

Agenda  Motivação  Metodologias para desenvolvimento de  software  Processos para o desenvolvimento de software  seguro  Boas práticas  Testes de invasão(pentest)  Equipes especialistas    Certificações  

Motivação  Vulnerabilidades  Ataques  Imagem  Riscos  ROI ­ Custo/Benefício    

Metodologias para  desenvolvimento de software  Cascata  Rup  Cmmi  Mps/Br  Spice  ISO 12207  Espiral  Xp   Scrum  

Desenvolvimento de software  seguro  SDL ­ Processos bem definidos aliados a  metodologia de desenvolvimento, possui como  foco único e exclusivo a segurança, exigindo  um SOC(Centro de operações de segurança) e  analises finais de segurança.  OWASP/CLASP ­ Um 'frameworkquot; com  processos bem definidos e flexiveis ao ponto  de viabilizar relacionamentos não custosos com  a metodologia de desenvolvimento de software    utilizada pela empresa.  

SDL ­ Microsoft  Comparação do SDL com o desenvolvimento  em espiral utilizado pela microsoft Tarefas Introduzidas pelo Processo de Desenvolvimento Seguro (SDL) Treinamento de Segurança Uso de Manutenção Criação de Security Ferramentas de Arquitetura de Docs e Preparar Push Revisão Kickoff de e Melhores Segurança Melhores Segurança FerramentasPlano de Final de Segurança Praticas de para o Resposta e Resposta Práticas Desenv. e Segurança e Registro com Produto Teste a Incidentes de Design Modelagem Teste o SWI De Ameaças Penet. Tarefas e Processos Tradicionais no Desenvolvimento de Produtos da Microsoft Especificações Teste e Verificação Ass. do Lista de Recursos Do Design Suporte ao Código Guias de Qualidade Produto Aprovação RTM Docs de Arquitetura Service Packs/ Final Cronogramas Espeficicações Desenvolvimento Correções Correção de Bugs Rel. Cand. Funcionais de Novo Código Suporte Requisitos Design Implementação Verificação Lançamento e Manutenção    

Boas práticas  Treinamentos para a equipe de  desenvolvimento  Privilégio Mínimo  Execução Mínima  Segregação de função  TDD ­ Desenvolvimento orientado a testes    

... Boas praticas  Modelagem de ameaças  Revisão de código  Padrões de projeto  Refactoring  Manter­se atualizado(securityfocus, milworm,  etc)    

Testes de invasão(pentest)  OSSTMM ­ Metodologia open source para  testes de invasão.  Externos X Internos, é importante que terceiros  testem o software desenvolvido, evitando assim  vícios da equipe de desenvolvimento e ou  segurança.    

Tipos de testes de invasão  White Box ­ Situação na qual o atacante possui  total acesso ao sistema e tudo aquilo que foi  utilizado para o desenvolvimento do  mesmo(códigos, documentação,  desenvolvedores...)  Grey box ­ Situação na qual o atacante possui  a visão do usuário, com algumas facilidades  propostas pela empresa(acesso a binários, libs,  alguma documentação...)  Black Box ­ Situação na qual o atacante inicia­   se como usuário.  

Práticas em testes de invasão  Automatizados, utilizando valores  aleatórios(fuzzing) e até mesmo inteligentes  Manuais(know­how by tester, OWASP)  Framework's de exploits(metasploit)  Ferramentas para varreduras(nmap, nessus)  Ferramentas para analise de código estático  Ferramentas para engenharia  reversa/debug(gdb, olydbg)    

Equipes especialistas  Time de Resposta a incidentes Equipe responsável por catalogar, amparar,  analisar e solucionar incidentes relacionados a  segurança.  Centro de operações de segurança Equipe responsável por amparar, auditar,  fiscalizar e esmiuçar os processos, técnicas e  métodos relativos a segurança, utilizados pela  a equipe de desenvolvimento.   Hackers!  

Certificações  CISSP ­ Certified Information Systems Security  Professional  CEH ­ Certified Ethical Hacker  MCSO ­ Módulo Certified Security Officer  CSSLP ­ Certified Secure Software Lifecycle  Professional    

Perguntas ?    

Obrigado!    

Add a comment

Related presentations

Related pages

Segurança No Desenvolvimento De Software Em Portuguese do ...

Bruno Ribeiro - Segurança No Desenvolvimento De Software (Em Portuguese do Brasil) jetzt kaufen. Kundrezensionen und 0.0 Sterne. …
Read more

gitec4 seguranca no desenvolvimento de software - YouTube

gitec4 seguranca no desenvolvimento de software ... Standard YouTube License; ... Segurança em Desenvolvimento de Software ...
Read more

Segurança no desenvolvimento de software (Book, 2002 ...

Get this from a library! Segurança no desenvolvimento de software. [Ricardo Albuquerque; Bruno Ribeiro]
Read more

O ciclo de vida do desenvolvimento da segurança de ...

Este artigo descreve a integração de um conjunto de etapas com o objetivo de aperfeiçoar a segurança de software no ... desenvolvimento da segurança.
Read more

Segurança no desenvolvimento de software : [como ...

Get this from a library! Segurança no desenvolvimento de software : [como desenvolver sistemas seguros e avaliar a segurança de aplicações ...
Read more

Segurança no Desenvolvimento - Curitiba — Fórum de ...

Segurança no Desenvolvimento Segurança no Desenvolvimento Palestrante: ... Adicionam segurança ao ciclo de vida de desenvolvimento de software.
Read more

IV EnGITEC - Segurança no desenvolvimento de softwares ...

... Segurança no desenvolvimento de softwares ... Segurança em Desenvolvimento e Programação Segura ... Engenharia de Software ...
Read more

Segurança no Desenvolvimento de Software

Segurança no Desenvolvimento de Software. ... 72a9-435a-bf3a-347cb256535c/segurana-no-desenvolvimento-de-software?forum=seguracadesistemaspt Question 3 ...
Read more