segurança nos ciclos de desenvolvimento de softwares
TRANSCRIPT
Segurança nos Ciclos de
Desenvolvimento de Softwares
Por Luiz Vieira
@HackProofing
Quem sou eu?
Segurança, para quê?
• Vulnerabilidades
• Ataques
• Credibilidade
• ROI
• Janela de exposição
• Zero-Day Exploits
Prevenir ou remediar?
Principais falhas
Principais falhas
• Adotar norma ISO/IEC 15.408 como padrão • Seus objetivos são outros, como foco no produto e não
em segurança especificamente
• Adotar uma abordagem apenas orientada à testes • Esse tipo de abordagem é limitada e não resolve
TODAS as questões vinculadas à segurança
• Adotar uma abordagem apenas orientada à documentação • Abordagem limitada, que foca em padrões de
desenvolvimento e políticas de segurança
Como resolver isso?
Melhores alternativas
• Processo Claro e Estabelecido
• Controle de Demandas e Bugs
• Testes e Gestão de Build
• Conscientização
• Capacitação
• Requerimentos
• Modelagem de Ameaças
• Arquitetura Segura
• Revisão de Design e
Arquitetura
• Revisão de Código
• Testes de Segurança
• Fortalecimento do ambiente
de produção
• Gestão de Vulnerabilidades
• Gestão de Mudanças
OpenSAMM
• Software Assurance Maturity Model (SAMM) é um framework aberto que auxilia organizações a implementar e formular uma estratégia para segurança em softwares. Os recursos providos pelo SAMM são: • Avaliar as práticas de segurança em softwares existentes na organização
• Construir um modelo confiável de segurança em software com interações bem definidas
• Demonstrar melhorias concretas de um programa confiável de segurança
• Definir e mensurar atividades relacionadas à segurança em toda a organização
CLASP
• Comprehensive, Lightweight Application Security
Process
• Fornece uma abordagem bem organizada e estruturada
para lidar com as questões relacionadas a segurança nos
estágios iniciais dos ciclos de vida de desenvolvimento de
software.
Organização do CLASP
Visão Conceitual
Visão Baseada em Funções
Avaliação de Atividade
Custos de Implementação
Aplicabilidade
Risco de inação
Implementação
24 “Security Activities”
Glossário de Vulnerabilidades
Consequências, problemas, períodos de exposição, revogação e técnicas de mitigação
Recursos Adicionais
Links
• CLASP – http://www.owasp.org/index.php/Category:OWASP_CLASP_Project
• OpenSAMM –
http://www.opensamm.org
• BSIMM – http://bsimm2.com/online/
• OWASP Enterprise Security API – https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API
• OWASP Secure Coding Practices– https://www.owasp.org/index.php/OWASP_Secure_Coding_Practices_-_Quick_Reference_Guide
Contatos
Luiz Vieira http://hackproofing.blogspot.com
http://www.oys.com.br