Download - Segurança no Desenvolvimento de Software
![Page 1: Segurança no Desenvolvimento de Software](https://reader038.vdocuments.com.br/reader038/viewer/2022100506/5560fa6cd8b42a91388b4dd7/html5/thumbnails/1.jpg)
Segurança no desenvolvimento de software
Marcelo M. Fleury… #GOPHP, #GOJAVA, #PSLGO, #FUGBR, #CISSPBR …
http://marcelomf.blogspot.com
![Page 2: Segurança no Desenvolvimento de Software](https://reader038.vdocuments.com.br/reader038/viewer/2022100506/5560fa6cd8b42a91388b4dd7/html5/thumbnails/2.jpg)
Agenda
Motivação Metodologias para desenvolvimento de
software Processos para o desenvolvimento de software
seguro Boas práticas Testes de invasão(pentest) Equipes especialistas Certificações
![Page 3: Segurança no Desenvolvimento de Software](https://reader038.vdocuments.com.br/reader038/viewer/2022100506/5560fa6cd8b42a91388b4dd7/html5/thumbnails/3.jpg)
Motivação
Vulnerabilidades Ataques Imagem Riscos ROI Custo/Benefício
![Page 4: Segurança no Desenvolvimento de Software](https://reader038.vdocuments.com.br/reader038/viewer/2022100506/5560fa6cd8b42a91388b4dd7/html5/thumbnails/4.jpg)
Metodologias para desenvolvimento de software Cascata
Rup
Cmmi
Mps/Br
Spice
ISO 12207
Espiral
Xp
Scrum
![Page 5: Segurança no Desenvolvimento de Software](https://reader038.vdocuments.com.br/reader038/viewer/2022100506/5560fa6cd8b42a91388b4dd7/html5/thumbnails/5.jpg)
Desenvolvimento de software seguro SDL Processos bem definidos aliados a
metodologia de desenvolvimento, possui como foco único e exclusivo a segurança, exigindo um SOC(Centro de operações de segurança) e analises finais de segurança.
OWASP/CLASP Um 'framework" com processos bem definidos e flexiveis ao ponto de viabilizar relacionamentos não custosos com a metodologia de desenvolvimento de software utilizada pela empresa.
![Page 6: Segurança no Desenvolvimento de Software](https://reader038.vdocuments.com.br/reader038/viewer/2022100506/5560fa6cd8b42a91388b4dd7/html5/thumbnails/6.jpg)
SDL Microsoft Comparação do SDL com o desenvolvimento
em espiral utilizado pela microsoft
Uso de Uso de FerramentasFerramentase Melhorese MelhoresPraticas de Praticas de Desenv. eDesenv. e
Teste Teste
Criação deCriação deDocs e Docs e
FerramentasFerramentaspara opara o
ProdutoProduto
PrepararPrepararPlano dePlano deResposta Resposta
Security Security Push Push
TesteTestePenet. Penet.
RevisãoRevisãoFinal deFinal de
Segurança Segurança
ManutençãoManutençãode de
SegurançaSegurançae Respostae Respostaa Incidentesa Incidentes
Lista de RecursosLista de RecursosGuias de QualidadeGuias de QualidadeDocs de ArquiteturaDocs de Arquitetura
CronogramasCronogramas
EspecificaçõesEspecificaçõesDo DesignDo Design Teste e VerificaçãoTeste e Verificação
DesenvolvimentoDesenvolvimentode Novo Códigode Novo Código Correção de BugsCorreção de Bugs
Ass. do Ass. do Código Código
AprovaçãoAprovaçãoFinalFinal
Rel. Cand.Rel. Cand.
RTMRTM
Suporte ao Suporte ao ProdutoProduto
Service Packs/Service Packs/CorreçõesCorreções
RequisitosRequisitos DesignDesign ImplementaçãoImplementação VerificaçãoVerificação LançamentoLançamentoSuporteSuporte
eeManutençãoManutenção
Treinamento de SegurançaTreinamento de Segurança
Kickoff de Kickoff de SegurançaSegurança
e Registro come Registro como SWIo SWI
MelhoresMelhoresPráticasPráticas
de Designde Design
Arquitetura de Arquitetura de SegurançaSegurança
ModelagemModelagemDe AmeaçasDe Ameaças
EspeficicaçõesEspeficicaçõesFuncionaisFuncionais
Tarefas e Processos Tradicionais no Desenvolvimento de Produtos da MicrosoftTarefas e Processos Tradicionais no Desenvolvimento de Produtos da Microsoft
Tarefas Introduzidas pelo Processo de Desenvolvimento Seguro (SDL)Tarefas Introduzidas pelo Processo de Desenvolvimento Seguro (SDL)
![Page 7: Segurança no Desenvolvimento de Software](https://reader038.vdocuments.com.br/reader038/viewer/2022100506/5560fa6cd8b42a91388b4dd7/html5/thumbnails/7.jpg)
Boas práticas
Treinamentos para a equipe de desenvolvimento
Privilégio Mínimo Execução Mínima Segregação de função TDD Desenvolvimento orientado a testes
![Page 8: Segurança no Desenvolvimento de Software](https://reader038.vdocuments.com.br/reader038/viewer/2022100506/5560fa6cd8b42a91388b4dd7/html5/thumbnails/8.jpg)
... Boas praticas
Modelagem de ameaças Revisão de código Padrões de projeto Refactoring Manterse atualizado(securityfocus, milworm,
etc)
![Page 9: Segurança no Desenvolvimento de Software](https://reader038.vdocuments.com.br/reader038/viewer/2022100506/5560fa6cd8b42a91388b4dd7/html5/thumbnails/9.jpg)
Testes de invasão(pentest)
OSSTMM Metodologia open source para testes de invasão.
Externos X Internos, é importante que terceiros testem o software desenvolvido, evitando assim vícios da equipe de desenvolvimento e ou segurança.
![Page 10: Segurança no Desenvolvimento de Software](https://reader038.vdocuments.com.br/reader038/viewer/2022100506/5560fa6cd8b42a91388b4dd7/html5/thumbnails/10.jpg)
Tipos de testes de invasão White Box Situação na qual o atacante possui
total acesso ao sistema e tudo aquilo que foi utilizado para o desenvolvimento do mesmo(códigos, documentação, desenvolvedores...)
Grey box Situação na qual o atacante possui a visão do usuário, com algumas facilidades propostas pela empresa(acesso a binários, libs, alguma documentação...)
Black Box Situação na qual o atacante iniciase como usuário.
![Page 11: Segurança no Desenvolvimento de Software](https://reader038.vdocuments.com.br/reader038/viewer/2022100506/5560fa6cd8b42a91388b4dd7/html5/thumbnails/11.jpg)
Práticas em testes de invasão
Automatizados, utilizando valores aleatórios(fuzzing) e até mesmo inteligentes
Manuais(knowhow by tester, OWASP) Framework's de exploits(metasploit) Ferramentas para varreduras(nmap, nessus) Ferramentas para analise de código estático Ferramentas para engenharia
reversa/debug(gdb, olydbg)
![Page 12: Segurança no Desenvolvimento de Software](https://reader038.vdocuments.com.br/reader038/viewer/2022100506/5560fa6cd8b42a91388b4dd7/html5/thumbnails/12.jpg)
Equipes especialistas
Time de Resposta a incidentesEquipe responsável por catalogar, amparar, analisar e solucionar incidentes relacionados a segurança.
Centro de operações de segurançaEquipe responsável por amparar, auditar, fiscalizar e esmiuçar os processos, técnicas e métodos relativos a segurança, utilizados pela a equipe de desenvolvimento.
Hackers!
![Page 13: Segurança no Desenvolvimento de Software](https://reader038.vdocuments.com.br/reader038/viewer/2022100506/5560fa6cd8b42a91388b4dd7/html5/thumbnails/13.jpg)
Certificações
CISSP Certified Information Systems Security Professional
CEH Certified Ethical Hacker MCSO Módulo Certified Security Officer CSSLP Certified Secure Software Lifecycle
Professional
![Page 14: Segurança no Desenvolvimento de Software](https://reader038.vdocuments.com.br/reader038/viewer/2022100506/5560fa6cd8b42a91388b4dd7/html5/thumbnails/14.jpg)
Perguntas ?
![Page 15: Segurança no Desenvolvimento de Software](https://reader038.vdocuments.com.br/reader038/viewer/2022100506/5560fa6cd8b42a91388b4dd7/html5/thumbnails/15.jpg)
Obrigado!