![Page 1: Segurança nos ciclos de desenvolvimento de softwares](https://reader033.vdocuments.pub/reader033/viewer/2022060119/558fc4051a28ab88318b45aa/html5/thumbnails/1.jpg)
Segurança nos Ciclos de
Desenvolvimento de Softwares
Por Luiz Vieira
@HackProofing
![Page 2: Segurança nos ciclos de desenvolvimento de softwares](https://reader033.vdocuments.pub/reader033/viewer/2022060119/558fc4051a28ab88318b45aa/html5/thumbnails/2.jpg)
Quem sou eu?
![Page 3: Segurança nos ciclos de desenvolvimento de softwares](https://reader033.vdocuments.pub/reader033/viewer/2022060119/558fc4051a28ab88318b45aa/html5/thumbnails/3.jpg)
Segurança, para quê?
• Vulnerabilidades
• Ataques
• Credibilidade
• ROI
• Janela de exposição
• Zero-Day Exploits
![Page 4: Segurança nos ciclos de desenvolvimento de softwares](https://reader033.vdocuments.pub/reader033/viewer/2022060119/558fc4051a28ab88318b45aa/html5/thumbnails/4.jpg)
Prevenir ou remediar?
![Page 5: Segurança nos ciclos de desenvolvimento de softwares](https://reader033.vdocuments.pub/reader033/viewer/2022060119/558fc4051a28ab88318b45aa/html5/thumbnails/5.jpg)
Principais falhas
![Page 6: Segurança nos ciclos de desenvolvimento de softwares](https://reader033.vdocuments.pub/reader033/viewer/2022060119/558fc4051a28ab88318b45aa/html5/thumbnails/6.jpg)
Principais falhas
• Adotar norma ISO/IEC 15.408 como padrão • Seus objetivos são outros, como foco no produto e não
em segurança especificamente
• Adotar uma abordagem apenas orientada à testes • Esse tipo de abordagem é limitada e não resolve
TODAS as questões vinculadas à segurança
• Adotar uma abordagem apenas orientada à documentação • Abordagem limitada, que foca em padrões de
desenvolvimento e políticas de segurança
![Page 7: Segurança nos ciclos de desenvolvimento de softwares](https://reader033.vdocuments.pub/reader033/viewer/2022060119/558fc4051a28ab88318b45aa/html5/thumbnails/7.jpg)
Como resolver isso?
![Page 8: Segurança nos ciclos de desenvolvimento de softwares](https://reader033.vdocuments.pub/reader033/viewer/2022060119/558fc4051a28ab88318b45aa/html5/thumbnails/8.jpg)
Melhores alternativas
• Processo Claro e Estabelecido
• Controle de Demandas e Bugs
• Testes e Gestão de Build
• Conscientização
• Capacitação
• Requerimentos
• Modelagem de Ameaças
• Arquitetura Segura
• Revisão de Design e
Arquitetura
• Revisão de Código
• Testes de Segurança
• Fortalecimento do ambiente
de produção
• Gestão de Vulnerabilidades
• Gestão de Mudanças
![Page 9: Segurança nos ciclos de desenvolvimento de softwares](https://reader033.vdocuments.pub/reader033/viewer/2022060119/558fc4051a28ab88318b45aa/html5/thumbnails/9.jpg)
OpenSAMM
• Software Assurance Maturity Model (SAMM) é um framework aberto que auxilia organizações a implementar e formular uma estratégia para segurança em softwares. Os recursos providos pelo SAMM são: • Avaliar as práticas de segurança em softwares existentes na organização
• Construir um modelo confiável de segurança em software com interações bem definidas
• Demonstrar melhorias concretas de um programa confiável de segurança
• Definir e mensurar atividades relacionadas à segurança em toda a organização
![Page 10: Segurança nos ciclos de desenvolvimento de softwares](https://reader033.vdocuments.pub/reader033/viewer/2022060119/558fc4051a28ab88318b45aa/html5/thumbnails/10.jpg)
CLASP
• Comprehensive, Lightweight Application Security
Process
• Fornece uma abordagem bem organizada e estruturada
para lidar com as questões relacionadas a segurança nos
estágios iniciais dos ciclos de vida de desenvolvimento de
software.
![Page 11: Segurança nos ciclos de desenvolvimento de softwares](https://reader033.vdocuments.pub/reader033/viewer/2022060119/558fc4051a28ab88318b45aa/html5/thumbnails/11.jpg)
Organização do CLASP
Visão Conceitual
Visão Baseada em Funções
Avaliação de Atividade
Custos de Implementação
Aplicabilidade
Risco de inação
Implementação
24 “Security Activities”
Glossário de Vulnerabilidades
Consequências, problemas, períodos de exposição, revogação e técnicas de mitigação
Recursos Adicionais
![Page 12: Segurança nos ciclos de desenvolvimento de softwares](https://reader033.vdocuments.pub/reader033/viewer/2022060119/558fc4051a28ab88318b45aa/html5/thumbnails/12.jpg)
Links
• CLASP – http://www.owasp.org/index.php/Category:OWASP_CLASP_Project
• OpenSAMM –
http://www.opensamm.org
• BSIMM – http://bsimm2.com/online/
• OWASP Enterprise Security API – https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API
• OWASP Secure Coding Practices– https://www.owasp.org/index.php/OWASP_Secure_Coding_Practices_-_Quick_Reference_Guide
![Page 13: Segurança nos ciclos de desenvolvimento de softwares](https://reader033.vdocuments.pub/reader033/viewer/2022060119/558fc4051a28ab88318b45aa/html5/thumbnails/13.jpg)
![Page 14: Segurança nos ciclos de desenvolvimento de softwares](https://reader033.vdocuments.pub/reader033/viewer/2022060119/558fc4051a28ab88318b45aa/html5/thumbnails/14.jpg)
Contatos
Luiz Vieira http://hackproofing.blogspot.com
http://www.oys.com.br