SlideShare una empresa de Scribd logo

Entendendo o Ciclo de Desenvolvimento Seguro

Descargar como PPT, PDF
Kleitor Franklint Correa Araujo
Kleitor Franklint Correa Araujo

Sobre SDL ou SDLC: Ciclo de vida de desenvolvimento seguro de software ou sistemas

Tecnología
1 de 23
ENTENDENDO O SDLC Security Development Lifecycle Kleitor Franklint kleitor@prodam.am.gov.br Líder OWASP capítulo Manaus Fábrica de Teste PRODAM
KLEITOR Entusiasta da Vida, Qualidade, Colaborativos, Ágil, Teste e Testes Ágeis. kleitor.franklint@gmail.com br.linkedin.com/in/kfranklint 92-99416-0873
SDL ou SDLC: Ciclo de vida de desenvolvimento de software ou sistemas. Ou ainda: Ciclo de vida de desenvolvimento seguro. Para não confundir: S-SDL ENTENDENDO O SDLC
Outras propostas ao título: Construindo segurança no seu SDL; SDL, adotando uma proposta peso leve; Construindo aplicações seguras com práticas ágeis; Ou ainda... DESENVOLVIMENTO SEGURO É MAIS SIMPLES QUE VOCÊ PENSA! ENTENDENDO O SDLC
S- SDL: UM ROADMAP
S-SDL?S-SDL?  É um programa de práticas no qual segurança é só mais um atributo de software como usabilidade, desempenho, escalabilidade, etc;  Insiste na incorporação de segurança ao Ciclo de Vida de Desenvolvimento de Software;  Hackers podem quebrar redes e aplicações de várias formas, por isso existe a proposta de S-SDL;  O objetivo cresce sistematicamente. Cada fase do SDLC vai insistir em segurança para além do atual conjunto de atividades.  Existe porque vulnerabilidades são identificadas muito tardiamente ou quando violações de segurança ocorrem.
Iniciativas S-SDLIniciativas S-SDL
Uma proposta de S-SDLUma proposta de S-SDL  Abordagem sistemática flexível que agregue mais valor ao conhecimento;  Orientada a práticas ágeis;  Integração fácil com atividades correlatas;  Atividades divididas em processos discretos e simples;  Que seja fácil de adotar com sua maneira de trabalhar;  Que resulte em melhorias incrementais à segurança que sejam facilmente realizáveis, repetíveis e mensuráveis.​​ ​​
Não importa sua metodologia de projetoNão importa sua metodologia de projeto S-SDL ágil, prático e adaptávelS-SDL ágil, prático e adaptável
Beneficios do SDLBeneficios do SDL  Erradicar defeitos o mais cedo possível para ser economicamente viável;  Colabora com integração com compliance;  Solução para problemas que não foram ainda claramente definidos;  Consciência de engenharia potencial causado por problemas de segurança;  Identificação dos serviços de segurança compartilhada e reutilização de estratégias e ferramentas de segurança;  Melhoria na tomada de decisão através de um processo de gestão de risco global em tempo hábil;
ÁGIL = Valorável, Leve, Possível e Prático. Integrar objetivos de segurança com requisitos Avaliação de Riscos Integrar atividades, responsáveis, padrões e modelos Modelagem de ameaças Alinhar com objetivos e requisitos de segurança; Codificação segura, SAST, Spikes. DAST, Fuzz Teste Black Box. Avaliar resultados. Deploy seguro, Teste black box post production Monitoramento de incidentes, Revisão da Infra. Manutenção Monitoramento, aprendizado, Revisões, Análises Atividades do S-SDL Treinamento
Estratégias de adoção de S-SDLEstratégias de adoção de S-SDL
RACIONALIZAÇÃO DO ESFORÇO Classifique suas Aplicações Classifique suas Atividades “One time”, “Every Sprint”, “Bucket requirements” ( não precisam estar completos , menos importantes, e com menos regularidade).
Atividades no S-SDL: Planejamento e Requisitos  Definir objetivos de segurança no plano de requisitos;  Modelar riscos;  Definir e monitorar métricas;  Aplicar requisito a cada fase;  Revisar. Não se pode testar a segurança mais que se pode testar a qualidade.
Atividades no S-SDL: Planejamento e Requisitos Definir objetivos de segurança no plano de requisitos. Requisitos podem ser adicionados como tarefas dentro de um release; Todos os requisitos “every sprint” devem estar completos e exceções a eles garantidas; Pelo menos um requisito da categoria Bucket deve estar pronto, ou um exceção concedida a ele; Nenhum requisito “One time” excedeu período de carência. Modelar riscos. Defina o escopo: orientada a Empresa, a projeto ou a problema. Uma lista simples com plano de mitigação integrada ao plano de requisitos é um bom começo. Definir e monitorar métricas. Desenvolver estratégias para gerar métricas; Definir métricas alcançaveis e aplicáveis; Como as métricas serão relatadas: relatório de teste, bugtrack, daily scrum, dashboard, etc Contabilize as vulnerabilidades "pre-SDL" e “pós-SDL por período;
Modelagem de ameaças ( crítico every sprint, apenas os novos ); Desenho de casos de uso de vulnerabilidade; Desenho da arquitetura segura; Desenho do deploy: Definir padrões de codificação segura; Desenho do deploy; Definir padrões de codificação segura; Definir atividades e responsáveis; Revisar: checklist Atividades no S-SDL: Design e arquitetura
Modelagem de ameaças ( crítico every sprint, apenas os novos ): - Pode ser textual, owasp top 10, diagrama de fluxo; - Um mínimo, mas útil, pode ser feito analisando pontos de entrada de alto risco e dados no sistema. Desenho de casos de uso de vulnerabilidade: - Quais os serviços de segurança podem ser tornar vulneráveis em aplicações; Desenho da arquitetura segura: - Configuração essencial servidor web ou app, patches; Desenho do deploy: - Criptografia, conf. mudanças; Definir padrões de codificação segura: - Uso de APIs, OWAP guides, etc; Atividades no S-SDL: Design e arquitetura
 Utilizar melhores práticas de codificação segura; - CERT Secure Coding Initiative28, O WASP CLASP, Microsoft SDL. - Não defina modelos semideuses, pense em viável e produtivo.  Executar análise estática de código(SAST); Cumprir: alinhar Design, arquitetura e requisitos de segurança; - Meu ambiente está pronto? Use um spike como experimento de codificação e teste; Revisão: periódica ou pró sprint Atividades no S-SDL: Desenvolvimento
Black box manual e automatizado (DAST); - Pentest, funcional, desempenho, fuzz em pre-produção. Gerar relatórios de vulnerabilidades e recomendações; Avaliação de resultados e métricas; - Times de teste, desenvolvimento e analistas. Atividades no S-SDL: Teste
Deploy seguro; Teste black box pós produção; Monitoramento de incidentes; Revisão de configurações de servidores e rede; Atividades no S-SDL: Produção
Lições aprendidas; Monitoramento das vulnerabilidades: leve o software ao medico a cada release; Revisões: processo, projeto ou problema. Atividades no S-SDL: Manutenção
Atividades do S-SDL Integrar objetivos de segurança com requisitos Avaliação de Riscos Integrar atividades, responsáveis, padrões e modelos Modelagem de ameaças Alinhar com objetivos e requisitos de segurança; Codificação segura, SAST, Spikes. DAST, Fuzz Teste Black Box. Avaliar resultados. Deploy seguro, Teste black box post production Monitoramento de incidentes, Revisão da Infra. Manutenção Monitoramento, aprendizado, Revisões, Análises Avaliação de Maturidade do S-SDL
23 POSSO COLABORAR COM MAIS RESPOSTAS? kleitor.franklint@gmail.com br.linkedin.com/in/kfranklint 92-99416-0873

Recomendados

Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoDesenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoClavis Segurança da Informação
 
Segurança em Desenvolvimento de Software
Segurança em Desenvolvimento de SoftwareSegurança em Desenvolvimento de Software
Segurança em Desenvolvimento de SoftwareConviso Application Security
 
Secure Code Review 101
Secure Code Review 101Secure Code Review 101
Secure Code Review 101Narudom Roongsiriwong, CISSP
 
Desenvolvimento de Software Seguro
Desenvolvimento de Software SeguroDesenvolvimento de Software Seguro
Desenvolvimento de Software SeguroAugusto Lüdtke
 
Desenvolvimento Seguro- 2011
Desenvolvimento Seguro- 2011Desenvolvimento Seguro- 2011
Desenvolvimento Seguro- 2011Kleitor Franklint Correa Araujo
 
DevSecOps - CI/CD com Pentest e Análise de Vulnerabilidades
DevSecOps - CI/CD com Pentest e Análise de VulnerabilidadesDevSecOps - CI/CD com Pentest e Análise de Vulnerabilidades
DevSecOps - CI/CD com Pentest e Análise de VulnerabilidadesVagner Rodrigues Fernandes
 
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
Requisitos de Segurança
Requisitos de SegurançaRequisitos de Segurança
Requisitos de SegurançaOWASP Brasília
 

Recomendados

Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoDesenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoClavis Segurança da Informação
 
Segurança em Desenvolvimento de Software
Segurança em Desenvolvimento de SoftwareSegurança em Desenvolvimento de Software
Segurança em Desenvolvimento de SoftwareConviso Application Security
 
Secure Code Review 101
Secure Code Review 101Secure Code Review 101
Secure Code Review 101Narudom Roongsiriwong, CISSP
 
Desenvolvimento de Software Seguro
Desenvolvimento de Software SeguroDesenvolvimento de Software Seguro
Desenvolvimento de Software SeguroAugusto Lüdtke
 
Desenvolvimento Seguro- 2011
Desenvolvimento Seguro- 2011Desenvolvimento Seguro- 2011
Desenvolvimento Seguro- 2011Kleitor Franklint Correa Araujo
 
DevSecOps - CI/CD com Pentest e Análise de Vulnerabilidades
DevSecOps - CI/CD com Pentest e Análise de VulnerabilidadesDevSecOps - CI/CD com Pentest e Análise de Vulnerabilidades
DevSecOps - CI/CD com Pentest e Análise de VulnerabilidadesVagner Rodrigues Fernandes
 
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
Requisitos de Segurança
Requisitos de SegurançaRequisitos de Segurança
Requisitos de SegurançaOWASP Brasília
 
Slides do Treinamento - OWASP TOP 10 (Em português)
Slides do Treinamento - OWASP TOP 10 (Em português)Slides do Treinamento - OWASP TOP 10 (Em português)
Slides do Treinamento - OWASP TOP 10 (Em português)Julio Cesar Stefanutto
 
MITRE ATT&CK Framework
MITRE ATT&CK FrameworkMITRE ATT&CK Framework
MITRE ATT&CK Frameworkn|u - The Open Security Community
 
Simplified Security Code Review Process
Simplified Security Code Review ProcessSimplified Security Code Review Process
Simplified Security Code Review ProcessSherif Koussa
 
Web application security
Web application securityWeb application security
Web application securityKapil Sharma
 
Sql Injection and XSS
Sql Injection and XSSSql Injection and XSS
Sql Injection and XSSMike Crabb
 
Vulnerabilities in modern web applications
Vulnerabilities in modern web applicationsVulnerabilities in modern web applications
Vulnerabilities in modern web applicationsNiyas Nazar
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...Clavis Segurança da Informação
 
Web Application Security
Web Application SecurityWeb Application Security
Web Application SecurityAbdul Wahid
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoMarco Mendes
 
Real World Application Threat Modelling By Example
Real World Application Threat Modelling By ExampleReal World Application Threat Modelling By Example
Real World Application Threat Modelling By ExampleNCC Group
 
Bsides SP 2022 - EPSS - Final.pptx
Bsides SP 2022 - EPSS - Final.pptxBsides SP 2022 - EPSS - Final.pptx
Bsides SP 2022 - EPSS - Final.pptxClavis Segurança da Informação
 
Encoded Attacks And Countermeasures
Encoded Attacks And CountermeasuresEncoded Attacks And Countermeasures
Encoded Attacks And CountermeasuresMarco Morana
 
Modéliser les menaces d'une application web
Modéliser les menaces d'une application webModéliser les menaces d'une application web
Modéliser les menaces d'une application webAntonio Fontes
 
Monitoramento de Banco de dados SQL Server com Zabbix
Monitoramento de Banco de dados SQL Server com ZabbixMonitoramento de Banco de dados SQL Server com Zabbix
Monitoramento de Banco de dados SQL Server com ZabbixGustavo Henrique
 
OWASP TOP 10 VULNERABILITIS
OWASP TOP 10 VULNERABILITISOWASP TOP 10 VULNERABILITIS
OWASP TOP 10 VULNERABILITISNull Bhubaneswar
 
Introduction to path traversal attack
Introduction to path traversal attackIntroduction to path traversal attack
Introduction to path traversal attackPrashant Hegde
 
Engenharia de Software Baseada em Componentes
Engenharia de Software Baseada em ComponentesEngenharia de Software Baseada em Componentes
Engenharia de Software Baseada em Componenteselliando dias
 
security misconfigurations
security misconfigurationssecurity misconfigurations
security misconfigurationsMegha Sahu
 
OWASP Top 10 Web Application Vulnerabilities
OWASP Top 10 Web Application VulnerabilitiesOWASP Top 10 Web Application Vulnerabilities
OWASP Top 10 Web Application VulnerabilitiesSoftware Guru
 
Cloud Summit Canada com Rodrigo Montoro
Cloud Summit Canada com Rodrigo MontoroCloud Summit Canada com Rodrigo Montoro
Cloud Summit Canada com Rodrigo MontoroClavis Segurança da Informação
 
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner EliasTratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner EliasMagno Logan
 
Ciclo de Vida
Ciclo de VidaCiclo de Vida
Ciclo de VidaWagner Zaparoli
 

Más contenido relacionado

La actualidad más candente

Slides do Treinamento - OWASP TOP 10 (Em português)
Slides do Treinamento - OWASP TOP 10 (Em português)Slides do Treinamento - OWASP TOP 10 (Em português)
Slides do Treinamento - OWASP TOP 10 (Em português)Julio Cesar Stefanutto
 
Simplified Security Code Review Process
Simplified Security Code Review ProcessSimplified Security Code Review Process
Simplified Security Code Review ProcessSherif Koussa
 
Web application security
Web application securityWeb application security
Web application securityKapil Sharma
 
Sql Injection and XSS
Sql Injection and XSSSql Injection and XSS
Sql Injection and XSSMike Crabb
 
Vulnerabilities in modern web applications
Vulnerabilities in modern web applicationsVulnerabilities in modern web applications
Vulnerabilities in modern web applicationsNiyas Nazar
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...Clavis Segurança da Informação
 
Web Application Security
Web Application SecurityWeb Application Security
Web Application SecurityAbdul Wahid
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoMarco Mendes
 
Real World Application Threat Modelling By Example
Real World Application Threat Modelling By ExampleReal World Application Threat Modelling By Example
Real World Application Threat Modelling By ExampleNCC Group
 
Encoded Attacks And Countermeasures
Encoded Attacks And CountermeasuresEncoded Attacks And Countermeasures
Encoded Attacks And CountermeasuresMarco Morana
 
Modéliser les menaces d'une application web
Modéliser les menaces d'une application webModéliser les menaces d'une application web
Modéliser les menaces d'une application webAntonio Fontes
 
Monitoramento de Banco de dados SQL Server com Zabbix
Monitoramento de Banco de dados SQL Server com ZabbixMonitoramento de Banco de dados SQL Server com Zabbix
Monitoramento de Banco de dados SQL Server com ZabbixGustavo Henrique
 
Introduction to path traversal attack
Introduction to path traversal attackIntroduction to path traversal attack
Introduction to path traversal attackPrashant Hegde
 
Engenharia de Software Baseada em Componentes
Engenharia de Software Baseada em ComponentesEngenharia de Software Baseada em Componentes
Engenharia de Software Baseada em Componenteselliando dias
 
security misconfigurations
security misconfigurationssecurity misconfigurations
security misconfigurationsMegha Sahu
 
OWASP Top 10 Web Application Vulnerabilities
OWASP Top 10 Web Application VulnerabilitiesOWASP Top 10 Web Application Vulnerabilities
OWASP Top 10 Web Application VulnerabilitiesSoftware Guru
 

La actualidad más candente (20)

Slides do Treinamento - OWASP TOP 10 (Em português)
Slides do Treinamento - OWASP TOP 10 (Em português)Slides do Treinamento - OWASP TOP 10 (Em português)
Slides do Treinamento - OWASP TOP 10 (Em português)
 
MITRE ATT&CK Framework
MITRE ATT&CK FrameworkMITRE ATT&CK Framework
MITRE ATT&CK Framework
 
Simplified Security Code Review Process
Simplified Security Code Review ProcessSimplified Security Code Review Process
Simplified Security Code Review Process
 
Web application security
Web application securityWeb application security
Web application security
 
Sql Injection and XSS
Sql Injection and XSSSql Injection and XSS
Sql Injection and XSS
 
Vulnerabilities in modern web applications
Vulnerabilities in modern web applicationsVulnerabilities in modern web applications
Vulnerabilities in modern web applications
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
 
Web Application Security
Web Application SecurityWeb Application Security
Web Application Security
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
 
Real World Application Threat Modelling By Example
Real World Application Threat Modelling By ExampleReal World Application Threat Modelling By Example
Real World Application Threat Modelling By Example
 
Bsides SP 2022 - EPSS - Final.pptx
Bsides SP 2022 - EPSS - Final.pptxBsides SP 2022 - EPSS - Final.pptx
Bsides SP 2022 - EPSS - Final.pptx
 
Encoded Attacks And Countermeasures
Encoded Attacks And CountermeasuresEncoded Attacks And Countermeasures
Encoded Attacks And Countermeasures
 
Modéliser les menaces d'une application web
Modéliser les menaces d'une application webModéliser les menaces d'une application web
Modéliser les menaces d'une application web
 
Monitoramento de Banco de dados SQL Server com Zabbix
Monitoramento de Banco de dados SQL Server com ZabbixMonitoramento de Banco de dados SQL Server com Zabbix
Monitoramento de Banco de dados SQL Server com Zabbix
 
OWASP TOP 10 VULNERABILITIS
OWASP TOP 10 VULNERABILITISOWASP TOP 10 VULNERABILITIS
OWASP TOP 10 VULNERABILITIS
 
Introduction to path traversal attack
Introduction to path traversal attackIntroduction to path traversal attack
Introduction to path traversal attack
 
Engenharia de Software Baseada em Componentes
Engenharia de Software Baseada em ComponentesEngenharia de Software Baseada em Componentes
Engenharia de Software Baseada em Componentes
 
security misconfigurations
security misconfigurationssecurity misconfigurations
security misconfigurations
 
OWASP Top 10 Web Application Vulnerabilities
OWASP Top 10 Web Application VulnerabilitiesOWASP Top 10 Web Application Vulnerabilities
OWASP Top 10 Web Application Vulnerabilities
 
Cloud Summit Canada com Rodrigo Montoro
Cloud Summit Canada com Rodrigo MontoroCloud Summit Canada com Rodrigo Montoro
Cloud Summit Canada com Rodrigo Montoro
 

Destacado

Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner EliasTratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner EliasMagno Logan
 
O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408Conviso Application Security
 
OWASP_BSB_20120827_TOP10_ISMAELROCHA
OWASP_BSB_20120827_TOP10_ISMAELROCHAOWASP_BSB_20120827_TOP10_ISMAELROCHA
OWASP_BSB_20120827_TOP10_ISMAELROCHAOWASP Brasília
 
Segurança de software na Administração Pública Federal
Segurança de software na Administração Pública FederalSegurança de software na Administração Pública Federal
Segurança de software na Administração Pública FederalOWASP Brasília
 
TDD - Test Driven Development
TDD - Test Driven DevelopmentTDD - Test Driven Development
TDD - Test Driven DevelopmentSaulo Martins
 
Treinamento em levantamento de requisitos de segurança
Treinamento em levantamento de requisitos de segurançaTreinamento em levantamento de requisitos de segurança
Treinamento em levantamento de requisitos de segurançaLeivan Carvalho
 
Ciclo de vida de software
Ciclo de vida de softwareCiclo de vida de software
Ciclo de vida de softwarediha36
 
Ciclo de vida de software
Ciclo de vida de software Ciclo de vida de software
Ciclo de vida de software caricati
 
Implementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISOImplementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISOConviso Application Security
 
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)Erick Belluci Tedeschi
 
Modelos de ciclo de vida de software
Modelos de ciclo de vida de softwareModelos de ciclo de vida de software
Modelos de ciclo de vida de softwareYuri Garcia
 

Destacado (16)

Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner EliasTratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
 
Ciclo de Vida
Ciclo de VidaCiclo de Vida
Ciclo de Vida
 
Segurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwaresSegurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwares
 
O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408
 
Ameaças e Vulnerabilidade em Apps Web-2013
Ameaças e Vulnerabilidade em Apps Web-2013Ameaças e Vulnerabilidade em Apps Web-2013
Ameaças e Vulnerabilidade em Apps Web-2013
 
OWASP_BSB_20120827_TOP10_ISMAELROCHA
OWASP_BSB_20120827_TOP10_ISMAELROCHAOWASP_BSB_20120827_TOP10_ISMAELROCHA
OWASP_BSB_20120827_TOP10_ISMAELROCHA
 
Elicitação e Análise
Elicitação e AnáliseElicitação e Análise
Elicitação e Análise
 
Segurança de software na Administração Pública Federal
Segurança de software na Administração Pública FederalSegurança de software na Administração Pública Federal
Segurança de software na Administração Pública Federal
 
TDD - Test Driven Development
TDD - Test Driven DevelopmentTDD - Test Driven Development
TDD - Test Driven Development
 
Treinamento em levantamento de requisitos de segurança
Treinamento em levantamento de requisitos de segurançaTreinamento em levantamento de requisitos de segurança
Treinamento em levantamento de requisitos de segurança
 
Ciclo de vida de software
Ciclo de vida de softwareCiclo de vida de software
Ciclo de vida de software
 
Ciclo de vida de software
Ciclo de vida de software Ciclo de vida de software
Ciclo de vida de software
 
Resumo de Técnicas de elicitação de requisitos
Resumo de Técnicas de elicitação de requisitosResumo de Técnicas de elicitação de requisitos
Resumo de Técnicas de elicitação de requisitos
 
Implementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISOImplementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISO
 
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
 
Modelos de ciclo de vida de software
Modelos de ciclo de vida de softwareModelos de ciclo de vida de software
Modelos de ciclo de vida de software
 

Similar a Entendendo o Ciclo de Desenvolvimento Seguro

(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades WebEduardo Lanna
 
Desenvolvimento de software – novas abordagens e desafios - Marlon Gaspar
Desenvolvimento de software – novas abordagens e desafios - Marlon GasparDesenvolvimento de software – novas abordagens e desafios - Marlon Gaspar
Desenvolvimento de software – novas abordagens e desafios - Marlon GasparRio Info
 
Lista de desejos de um Chief Security Officer
Lista de desejos de um Chief Security OfficerLista de desejos de um Chief Security Officer
Lista de desejos de um Chief Security OfficerAmazon Web Services LATAM
 
(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSegura(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSeguraEduardo Lanna
 
Cyber Segurança - CyberSecurity
Cyber Segurança - CyberSecurityCyber Segurança - CyberSecurity
Cyber Segurança - CyberSecurityPeterson Alves
 
WBMA2013 - Método Ágil para desenvolvimento de software confiável
WBMA2013 - Método Ágil para desenvolvimento de software confiávelWBMA2013 - Método Ágil para desenvolvimento de software confiável
WBMA2013 - Método Ágil para desenvolvimento de software confiávelAlan Braz
 
DevSecOps - Segurança em um pipeline contínuo
DevSecOps - Segurança em um pipeline contínuoDevSecOps - Segurança em um pipeline contínuo
DevSecOps - Segurança em um pipeline contínuoEndrigo Antonini
 
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
Owasp Chapter Cuiabá
Owasp Chapter Cuiabá Owasp Chapter Cuiabá
Owasp Chapter Cuiabá OWASP_cuiaba
 
Relatório de Segurança Anual de 2015
Relatório de Segurança Anual de 2015Relatório de Segurança Anual de 2015
Relatório de Segurança Anual de 2015Cisco do Brasil
 
[CLASS 2014] Palestra Técnica - Cesar Oliveira
[CLASS 2014] Palestra Técnica - Cesar Oliveira[CLASS 2014] Palestra Técnica - Cesar Oliveira
[CLASS 2014] Palestra Técnica - Cesar OliveiraTI Safe
 
Como se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareComo se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareAlcyon Ferreira de Souza Junior, MSc
 

Similar a Entendendo o Ciclo de Desenvolvimento Seguro (20)

PCI DSS e Metodologias Ágeis
PCI DSS e Metodologias ÁgeisPCI DSS e Metodologias Ágeis
PCI DSS e Metodologias Ágeis
 
Dss 3
Dss 3Dss 3
Dss 3
 
Defesa Becker
Defesa BeckerDefesa Becker
Defesa Becker
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web
 
Desenvolvimento de software – novas abordagens e desafios - Marlon Gaspar
Desenvolvimento de software – novas abordagens e desafios - Marlon GasparDesenvolvimento de software – novas abordagens e desafios - Marlon Gaspar
Desenvolvimento de software – novas abordagens e desafios - Marlon Gaspar
 
Lista de desejos de um Chief Security Officer
Lista de desejos de um Chief Security OfficerLista de desejos de um Chief Security Officer
Lista de desejos de um Chief Security Officer
 
(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSegura(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSegura
 
(4) Comparando o NStalker WAS com o RedeSegura
(4) Comparando o NStalker WAS com o RedeSegura(4) Comparando o NStalker WAS com o RedeSegura
(4) Comparando o NStalker WAS com o RedeSegura
 
Cyber Segurança - CyberSecurity
Cyber Segurança - CyberSecurityCyber Segurança - CyberSecurity
Cyber Segurança - CyberSecurity
 
WBMA2013 - Método Ágil para desenvolvimento de software confiável
WBMA2013 - Método Ágil para desenvolvimento de software confiávelWBMA2013 - Método Ágil para desenvolvimento de software confiável
WBMA2013 - Método Ágil para desenvolvimento de software confiável
 
DevSecOps - Segurança em um pipeline contínuo
DevSecOps - Segurança em um pipeline contínuoDevSecOps - Segurança em um pipeline contínuo
DevSecOps - Segurança em um pipeline contínuo
 
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
 
Owasp Chapter Cuiabá
Owasp Chapter Cuiabá Owasp Chapter Cuiabá
Owasp Chapter Cuiabá
 
Java security
Java securityJava security
Java security
 
Relatório de Segurança Anual de 2015
Relatório de Segurança Anual de 2015Relatório de Segurança Anual de 2015
Relatório de Segurança Anual de 2015
 
[CLASS 2014] Palestra Técnica - Cesar Oliveira
[CLASS 2014] Palestra Técnica - Cesar Oliveira[CLASS 2014] Palestra Técnica - Cesar Oliveira
[CLASS 2014] Palestra Técnica - Cesar Oliveira
 
Como se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareComo se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de Software
 
MTI-MT Desenvolvimento Seguro
MTI-MT Desenvolvimento SeguroMTI-MT Desenvolvimento Seguro
MTI-MT Desenvolvimento Seguro
 
Analise de Requisitos Software
Analise de Requisitos SoftwareAnalise de Requisitos Software
Analise de Requisitos Software
 

Más de Kleitor Franklint Correa Araujo

Automação de testes - uma introdução sobre estratégias
Automação de testes - uma introdução sobre estratégiasAutomação de testes - uma introdução sobre estratégias
Automação de testes - uma introdução sobre estratégiasKleitor Franklint Correa Araujo
 
Gestão de projeto PMBOK 5 com um Toque Agil - praticas de fundamentos
Gestão de projeto PMBOK 5 com um Toque Agil - praticas de fundamentosGestão de projeto PMBOK 5 com um Toque Agil - praticas de fundamentos
Gestão de projeto PMBOK 5 com um Toque Agil - praticas de fundamentosKleitor Franklint Correa Araujo
 

Más de Kleitor Franklint Correa Araujo (20)

Metricas (e previsões) acionáveis de projeto
Metricas (e previsões) acionáveis de projetoMetricas (e previsões) acionáveis de projeto
Metricas (e previsões) acionáveis de projeto
 
Modelagem com historias bem além dos requisitos
Modelagem com historias bem além dos requisitosModelagem com historias bem além dos requisitos
Modelagem com historias bem além dos requisitos
 
Engenharia de software Lean Kanban
Engenharia de software Lean KanbanEngenharia de software Lean Kanban
Engenharia de software Lean Kanban
 
Fundamentos Gestão de Escopo e Qualidade
Fundamentos Gestão de Escopo e QualidadeFundamentos Gestão de Escopo e Qualidade
Fundamentos Gestão de Escopo e Qualidade
 
MBA em projetos - Gestao Ágil
MBA em projetos - Gestao ÁgilMBA em projetos - Gestao Ágil
MBA em projetos - Gestao Ágil
 
Automação de testes - uma introdução sobre estratégias
Automação de testes - uma introdução sobre estratégiasAutomação de testes - uma introdução sobre estratégias
Automação de testes - uma introdução sobre estratégias
 
Papeis Ágeis - uma proposta operacional Scrum
Papeis Ágeis - uma proposta operacional ScrumPapeis Ágeis - uma proposta operacional Scrum
Papeis Ágeis - uma proposta operacional Scrum
 
Teste de software gestao e kaizen
Teste de software gestao e kaizenTeste de software gestao e kaizen
Teste de software gestao e kaizen
 
Introdução ao design de teste de software
Introdução ao design de teste de softwareIntrodução ao design de teste de software
Introdução ao design de teste de software
 
Gestao de Projeto com gráfico burndown
Gestao de Projeto com gráfico burndownGestao de Projeto com gráfico burndown
Gestao de Projeto com gráfico burndown
 
Teste de segurança do lado servidor - Nível 1
Teste de segurança do lado servidor - Nível 1Teste de segurança do lado servidor - Nível 1
Teste de segurança do lado servidor - Nível 1
 
Introdução de teste de segurança app web
Introdução de teste de segurança app webIntrodução de teste de segurança app web
Introdução de teste de segurança app web
 
Gestão Agil de tudo - Retrospectivas
Gestão Agil de tudo - RetrospectivasGestão Agil de tudo - Retrospectivas
Gestão Agil de tudo - Retrospectivas
 
Gestao Ágil do Backlog - Taskboards
Gestao Ágil do Backlog - TaskboardsGestao Ágil do Backlog - Taskboards
Gestao Ágil do Backlog - Taskboards
 
Gestão Ágil de tudo: Planejamento backlog
Gestão Ágil de tudo: Planejamento backlogGestão Ágil de tudo: Planejamento backlog
Gestão Ágil de tudo: Planejamento backlog
 
Gestao Ágil de Projeto - Reunião Diária
Gestao Ágil de Projeto - Reunião DiáriaGestao Ágil de Projeto - Reunião Diária
Gestao Ágil de Projeto - Reunião Diária
 
Agil - coisas essenciais de sempre
Agil - coisas essenciais de sempreAgil - coisas essenciais de sempre
Agil - coisas essenciais de sempre
 
Gestão de projeto PMBOK 5 com um Toque Agil - praticas de fundamentos
Gestão de projeto PMBOK 5 com um Toque Agil - praticas de fundamentosGestão de projeto PMBOK 5 com um Toque Agil - praticas de fundamentos
Gestão de projeto PMBOK 5 com um Toque Agil - praticas de fundamentos
 
Gestão de projeto- conceitos essenciais
Gestão de projeto- conceitos essenciaisGestão de projeto- conceitos essenciais
Gestão de projeto- conceitos essenciais
 
Test First, TDD e outros Bichos
Test First, TDD e outros BichosTest First, TDD e outros Bichos
Test First, TDD e outros Bichos
 

Entendendo o Ciclo de Desenvolvimento Seguro

  • 1. ENTENDENDO O SDLC Security Development Lifecycle Kleitor Franklint kleitor@prodam.am.gov.br Líder OWASP capítulo Manaus Fábrica de Teste PRODAM
  • 2. KLEITOR Entusiasta da Vida, Qualidade, Colaborativos, Ágil, Teste e Testes Ágeis. kleitor.franklint@gmail.com br.linkedin.com/in/kfranklint 92-99416-0873
  • 3. SDL ou SDLC: Ciclo de vida de desenvolvimento de software ou sistemas. Ou ainda: Ciclo de vida de desenvolvimento seguro. Para não confundir: S-SDL ENTENDENDO O SDLC
  • 4. Outras propostas ao título: Construindo segurança no seu SDL; SDL, adotando uma proposta peso leve; Construindo aplicações seguras com práticas ágeis; Ou ainda... DESENVOLVIMENTO SEGURO É MAIS SIMPLES QUE VOCÊ PENSA! ENTENDENDO O SDLC
  • 5. S- SDL: UM ROADMAP
  • 6. S-SDL?S-SDL?  É um programa de práticas no qual segurança é só mais um atributo de software como usabilidade, desempenho, escalabilidade, etc;  Insiste na incorporação de segurança ao Ciclo de Vida de Desenvolvimento de Software;  Hackers podem quebrar redes e aplicações de várias formas, por isso existe a proposta de S-SDL;  O objetivo cresce sistematicamente. Cada fase do SDLC vai insistir em segurança para além do atual conjunto de atividades.  Existe porque vulnerabilidades são identificadas muito tardiamente ou quando violações de segurança ocorrem.
  • 8. Uma proposta de S-SDLUma proposta de S-SDL  Abordagem sistemática flexível que agregue mais valor ao conhecimento;  Orientada a práticas ágeis;  Integração fácil com atividades correlatas;  Atividades divididas em processos discretos e simples;  Que seja fácil de adotar com sua maneira de trabalhar;  Que resulte em melhorias incrementais à segurança que sejam facilmente realizáveis, repetíveis e mensuráveis.​​ ​​
  • 9. Não importa sua metodologia de projetoNão importa sua metodologia de projeto S-SDL ágil, prático e adaptávelS-SDL ágil, prático e adaptável
  • 10. Beneficios do SDLBeneficios do SDL  Erradicar defeitos o mais cedo possível para ser economicamente viável;  Colabora com integração com compliance;  Solução para problemas que não foram ainda claramente definidos;  Consciência de engenharia potencial causado por problemas de segurança;  Identificação dos serviços de segurança compartilhada e reutilização de estratégias e ferramentas de segurança;  Melhoria na tomada de decisão através de um processo de gestão de risco global em tempo hábil;
  • 11. ÁGIL = Valorável, Leve, Possível e Prático. Integrar objetivos de segurança com requisitos Avaliação de Riscos Integrar atividades, responsáveis, padrões e modelos Modelagem de ameaças Alinhar com objetivos e requisitos de segurança; Codificação segura, SAST, Spikes. DAST, Fuzz Teste Black Box. Avaliar resultados. Deploy seguro, Teste black box post production Monitoramento de incidentes, Revisão da Infra. Manutenção Monitoramento, aprendizado, Revisões, Análises Atividades do S-SDL Treinamento
  • 12. Estratégias de adoção de S-SDLEstratégias de adoção de S-SDL
  • 13. RACIONALIZAÇÃO DO ESFORÇO Classifique suas Aplicações Classifique suas Atividades “One time”, “Every Sprint”, “Bucket requirements” ( não precisam estar completos , menos importantes, e com menos regularidade).
  • 14. Atividades no S-SDL: Planejamento e Requisitos  Definir objetivos de segurança no plano de requisitos;  Modelar riscos;  Definir e monitorar métricas;  Aplicar requisito a cada fase;  Revisar. Não se pode testar a segurança mais que se pode testar a qualidade.
  • 15. Atividades no S-SDL: Planejamento e Requisitos Definir objetivos de segurança no plano de requisitos. Requisitos podem ser adicionados como tarefas dentro de um release; Todos os requisitos “every sprint” devem estar completos e exceções a eles garantidas; Pelo menos um requisito da categoria Bucket deve estar pronto, ou um exceção concedida a ele; Nenhum requisito “One time” excedeu período de carência. Modelar riscos. Defina o escopo: orientada a Empresa, a projeto ou a problema. Uma lista simples com plano de mitigação integrada ao plano de requisitos é um bom começo. Definir e monitorar métricas. Desenvolver estratégias para gerar métricas; Definir métricas alcançaveis e aplicáveis; Como as métricas serão relatadas: relatório de teste, bugtrack, daily scrum, dashboard, etc Contabilize as vulnerabilidades "pre-SDL" e “pós-SDL por período;
  • 16. Modelagem de ameaças ( crítico every sprint, apenas os novos ); Desenho de casos de uso de vulnerabilidade; Desenho da arquitetura segura; Desenho do deploy: Definir padrões de codificação segura; Desenho do deploy; Definir padrões de codificação segura; Definir atividades e responsáveis; Revisar: checklist Atividades no S-SDL: Design e arquitetura
  • 17. Modelagem de ameaças ( crítico every sprint, apenas os novos ): - Pode ser textual, owasp top 10, diagrama de fluxo; - Um mínimo, mas útil, pode ser feito analisando pontos de entrada de alto risco e dados no sistema. Desenho de casos de uso de vulnerabilidade: - Quais os serviços de segurança podem ser tornar vulneráveis em aplicações; Desenho da arquitetura segura: - Configuração essencial servidor web ou app, patches; Desenho do deploy: - Criptografia, conf. mudanças; Definir padrões de codificação segura: - Uso de APIs, OWAP guides, etc; Atividades no S-SDL: Design e arquitetura
  • 18.  Utilizar melhores práticas de codificação segura; - CERT Secure Coding Initiative28, O WASP CLASP, Microsoft SDL. - Não defina modelos semideuses, pense em viável e produtivo.  Executar análise estática de código(SAST); Cumprir: alinhar Design, arquitetura e requisitos de segurança; - Meu ambiente está pronto? Use um spike como experimento de codificação e teste; Revisão: periódica ou pró sprint Atividades no S-SDL: Desenvolvimento
  • 19. Black box manual e automatizado (DAST); - Pentest, funcional, desempenho, fuzz em pre-produção. Gerar relatórios de vulnerabilidades e recomendações; Avaliação de resultados e métricas; - Times de teste, desenvolvimento e analistas. Atividades no S-SDL: Teste
  • 20. Deploy seguro; Teste black box pós produção; Monitoramento de incidentes; Revisão de configurações de servidores e rede; Atividades no S-SDL: Produção
  • 21. Lições aprendidas; Monitoramento das vulnerabilidades: leve o software ao medico a cada release; Revisões: processo, projeto ou problema. Atividades no S-SDL: Manutenção
  • 22. Atividades do S-SDL Integrar objetivos de segurança com requisitos Avaliação de Riscos Integrar atividades, responsáveis, padrões e modelos Modelagem de ameaças Alinhar com objetivos e requisitos de segurança; Codificação segura, SAST, Spikes. DAST, Fuzz Teste Black Box. Avaliar resultados. Deploy seguro, Teste black box post production Monitoramento de incidentes, Revisão da Infra. Manutenção Monitoramento, aprendizado, Revisões, Análises Avaliação de Maturidade do S-SDL
  • 23. 23 POSSO COLABORAR COM MAIS RESPOSTAS? kleitor.franklint@gmail.com br.linkedin.com/in/kfranklint 92-99416-0873