SlideShare una empresa de Scribd logo

Aula11.pdf

M
MaritzaDiaz76

chalé Aula11.pdf

Arte y fotografía
1 de 24
Descargar para leer sin conexión
Aula 11 Integrando Segurança ao Processo de Desenvolvimento de Software Prof. Leonardo Lemes Fagundes
A educação faz com que as pessoas sejam fáceis de guiar, mas difíceis de arrastar; fáceis de governar, mas impossíveis de escravizar. Peter Drucker
 Divulgação das Notas do Grau A  Introdução  Panorama Geral Sobre Vulnerabilidades  Ciclo de Vida de Desenvolvimento Seguro  Considerações Finais  Referências Bibliográficas Agenda
 Entendendo o Contexto Atual  Surgimento de vulnerabilidades em larga escala;  Toolkits para ataques disponíveis na Internet;  Busca por conformidade (aspectos legais, padrões e normas); Introdução
 Entendendo o Contexto Atual (continuação ...)  Alguns Mitos  Desenvolvedores versus Analistas de Segurança;  A linguagem “X” é mais segura que “Y”;  Alguns Fatos  Falta qualificação técnica das equipes;  O processo de desenvolvimento precisa ser revisto; Introdução
 A natureza das vulnerabilidades  Bugs de Projeto  Bugs de Implementação  Aplicação  Plataforma / Arquitetura  Bugs de Configuração Panorama Geral Sobre Vulnerabilidades
1. Code Injection 2. Cross Site Scripting 3. Broken Authentication and Session Management 4. Insecure Direct Object References 5. Cross Site Request Forgery (CSRF) Panorama Geral Sobre Vulnerabilidades 6. Security Misconfiguration 7. Failure to Restrict URL Access 8. Unvalidated Redirects 9. Insecure Cryptographic Storage 10. Insufficient Transport Layer Protection OWASP TOP 10 (2010) Fonte: Owasp Top 10 – 2010 rc1
 SoftwareDevelopment Life Cycle (SDLC)  Framework que descreve as atividades de cada um dos estágios de um projeto de desenvolvimento de software.  Diferentes metodologias de desenvolvimento.  Estágios: Requisitos, Projeto, Implementação, Teste, Manutenção Ciclo de Vida de Desenvolvimento de Software
 SecurityDevelopment Lifecycle (SDL)  Conjunto de práticas de segurança da informação incorporados aos estágios de um processo de desenvolvimento de software. Ciclo de Vida de Desenvolvimento de Software
Ciclo de Vida de Desenvolvimento de Software Seguro Requisitos • Identificação dos requisitos de segurança; • Identificar os tipos de informações; • Identificar a categoria do sistema; • Análise e avaliação de riscos preliminares;
Ciclo de Vida de Desenvolvimento de Software Seguro Projeto • Análise e avaliação de riscos; • Modelagem de ameaças; • Seleção de controles; • Definição da arquitetura de segurança;
Ciclo de Vida de Desenvolvimento de Software Seguro Codificação • Análise e avaliação de riscos; • Análise estática; • Lista aprovada de ferramentas; • Lista de funções e bibliotecas inseguras / proibidas;
Ciclo de Vida de Desenvolvimento de Software Seguro Verificação • Análise e avaliação de riscos; • Definir planos / estratégicas de teste; • Análise dinâmica • Análise de vulnerabilidades
Ciclo de Vida de Desenvolvimento de Software Seguro Liberação • Análise e avaliação de riscos; • Revisão “Final” de Segurança; • Planos de resposta a incidentes;
Ciclo de Vida de Desenvolvimento de Software Seguro Resposta • Execução do plano de resposta a incidentes;
 Quanto mais cedo forem incorporados os controles de segurança ao processo de desenvolvimento de software, menores os riscos de incidentes, melhor será o processo;  Convém que o processo de integração entre segurança da informação e o desenvolvimento de software seja flexível. Considerações Finais
Considerações Finais
 Conjunto de práticas que podem auxiliar ao ciclo de vida de desenvolvimento de software seguro:  Systems Security Engineering Capability Maturity Model (SSE-CMM);  Software Assurance Forum for Excellence in Code (SAFEcode);  Security Quality Requirements Engineering (SQUARE);  Security Requirements Engineering Process (SREP);  Common Criteria (CC) ; Considerações Finais
Anexo A – Abuse Case
Anexo B – Attack Trees
Anexo C – Modelagem de Ameaças
Anexo D – Modelagem de Ameaças
Referências

Recomendados

Dss 3
Dss 3Dss 3
Dss 3Jean Carlos da Silva
 
Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Alcyon Ferreira de Souza Junior, MSc
 
Como se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareComo se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareAlcyon Ferreira de Souza Junior, MSc
 
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar [GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejarGUTS-RS
 
Segurança em Desenvolvimento de Software
Segurança em Desenvolvimento de SoftwareSegurança em Desenvolvimento de Software
Segurança em Desenvolvimento de SoftwareConviso Application Security
 
DevSecOps - Segurança em um pipeline contínuo
DevSecOps - Segurança em um pipeline contínuoDevSecOps - Segurança em um pipeline contínuo
DevSecOps - Segurança em um pipeline contínuoEndrigo Antonini
 
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMArtigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMBruno Motta Rego
 
Validando a Segurança de Software
Validando a Segurança de SoftwareValidando a Segurança de Software
Validando a Segurança de SoftwareJeronimo Zucco
 

Recomendados

Dss 3
Dss 3Dss 3
Dss 3Jean Carlos da Silva
 
Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Alcyon Ferreira de Souza Junior, MSc
 
Como se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareComo se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareAlcyon Ferreira de Souza Junior, MSc
 
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar [GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejarGUTS-RS
 
Segurança em Desenvolvimento de Software
Segurança em Desenvolvimento de SoftwareSegurança em Desenvolvimento de Software
Segurança em Desenvolvimento de SoftwareConviso Application Security
 
DevSecOps - Segurança em um pipeline contínuo
DevSecOps - Segurança em um pipeline contínuoDevSecOps - Segurança em um pipeline contínuo
DevSecOps - Segurança em um pipeline contínuoEndrigo Antonini
 
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMArtigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMBruno Motta Rego
 
Validando a Segurança de Software
Validando a Segurança de SoftwareValidando a Segurança de Software
Validando a Segurança de SoftwareJeronimo Zucco
 
Projeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIProjeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIMessias Dias Teixeira
 
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
Engenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareEngenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareJuliano Padilha
 
O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408Conviso Application Security
 
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...tdc-globalcode
 
2019 04-25 - ciclo de desenvolvimento seguro pessoas processos ferramentas
2019 04-25 - ciclo de desenvolvimento seguro pessoas processos ferramentas2019 04-25 - ciclo de desenvolvimento seguro pessoas processos ferramentas
2019 04-25 - ciclo de desenvolvimento seguro pessoas processos ferramentasGustavo Lichti Mendonça
 
Java security
Java securityJava security
Java securityarmeniocardoso
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades WebKeySupport Consultoria e Informática Ltda
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades WebEduardo Lanna
 
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWAREQUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWAREFabiano Souza
 
Segurança de código
Segurança de códigoSegurança de código
Segurança de códigoWanderlei Silva do Carmo
 
DevSecOps - Workshop do Bem
DevSecOps - Workshop do BemDevSecOps - Workshop do Bem
DevSecOps - Workshop do BemBruno Dantas
 
Webinar Segurança de DevOps
Webinar Segurança de DevOpsWebinar Segurança de DevOps
Webinar Segurança de DevOpsTenchi Security
 
Software Seguro
Software SeguroSoftware Seguro
Software SeguroRafael Alves
 
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Welington Monteiro
 
(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSegura(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSeguraEduardo Lanna
 
(4) Comparando o NStalker WAS com o RedeSegura
(4) Comparando o NStalker WAS com o RedeSegura(4) Comparando o NStalker WAS com o RedeSegura
(4) Comparando o NStalker WAS com o RedeSeguraKeySupport Consultoria e Informática Ltda
 
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
Entendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento SeguroEntendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento SeguroKleitor Franklint Correa Araujo
 
MTI-MT Desenvolvimento Seguro
MTI-MT Desenvolvimento SeguroMTI-MT Desenvolvimento Seguro
MTI-MT Desenvolvimento SeguroAndré Luís Cardoso
 
material sobre poesia de Hilda Hilst, poeta
material sobre poesia de Hilda Hilst, poetamaterial sobre poesia de Hilda Hilst, poeta
material sobre poesia de Hilda Hilst, poetaBeth282646
 
Identidade e Gênero A(1).pptkkkkkkkkkkkl
Identidade e Gênero A(1).pptkkkkkkkkkkklIdentidade e Gênero A(1).pptkkkkkkkkkkkl
Identidade e Gênero A(1).pptkkkkkkkkkkklWellington Sousa
 

Más contenido relacionado

Similar a Aula11.pdf

Projeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIProjeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIMessias Dias Teixeira
 
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
Engenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareEngenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareJuliano Padilha
 
O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408Conviso Application Security
 
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...tdc-globalcode
 
2019 04-25 - ciclo de desenvolvimento seguro pessoas processos ferramentas
2019 04-25 - ciclo de desenvolvimento seguro pessoas processos ferramentas2019 04-25 - ciclo de desenvolvimento seguro pessoas processos ferramentas
2019 04-25 - ciclo de desenvolvimento seguro pessoas processos ferramentasGustavo Lichti Mendonça
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades WebEduardo Lanna
 
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWAREQUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWAREFabiano Souza
 
DevSecOps - Workshop do Bem
DevSecOps - Workshop do BemDevSecOps - Workshop do Bem
DevSecOps - Workshop do BemBruno Dantas
 
Webinar Segurança de DevOps
Webinar Segurança de DevOpsWebinar Segurança de DevOps
Webinar Segurança de DevOpsTenchi Security
 
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Welington Monteiro
 
(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSegura(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSeguraEduardo Lanna
 
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 

Similar a Aula11.pdf (20)

Projeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIProjeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TI
 
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
 
Engenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareEngenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de software
 
O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408
 
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
 
2019 04-25 - ciclo de desenvolvimento seguro pessoas processos ferramentas
2019 04-25 - ciclo de desenvolvimento seguro pessoas processos ferramentas2019 04-25 - ciclo de desenvolvimento seguro pessoas processos ferramentas
2019 04-25 - ciclo de desenvolvimento seguro pessoas processos ferramentas
 
Java security
Java securityJava security
Java security
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web
 
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWAREQUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
 
Segurança de código
Segurança de códigoSegurança de código
Segurança de código
 
DevSecOps - Workshop do Bem
DevSecOps - Workshop do BemDevSecOps - Workshop do Bem
DevSecOps - Workshop do Bem
 
Webinar Segurança de DevOps
Webinar Segurança de DevOpsWebinar Segurança de DevOps
Webinar Segurança de DevOps
 
Software Seguro
Software SeguroSoftware Seguro
Software Seguro
 
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
 
(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSegura(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSegura
 
(4) Comparando o NStalker WAS com o RedeSegura
(4) Comparando o NStalker WAS com o RedeSegura(4) Comparando o NStalker WAS com o RedeSegura
(4) Comparando o NStalker WAS com o RedeSegura
 
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
 
Entendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento SeguroEntendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento Seguro
 
MTI-MT Desenvolvimento Seguro
MTI-MT Desenvolvimento SeguroMTI-MT Desenvolvimento Seguro
MTI-MT Desenvolvimento Seguro
 

Último

material sobre poesia de Hilda Hilst, poeta
material sobre poesia de Hilda Hilst, poetamaterial sobre poesia de Hilda Hilst, poeta
material sobre poesia de Hilda Hilst, poetaBeth282646
 
Identidade e Gênero A(1).pptkkkkkkkkkkkl
Identidade e Gênero A(1).pptkkkkkkkkkkklIdentidade e Gênero A(1).pptkkkkkkkkkkkl
Identidade e Gênero A(1).pptkkkkkkkkkkklWellington Sousa
 
019348000101011 (27)vvvvvvvvvvvvvvvvvvvvvvvvvvvv.pdf
019348000101011 (27)vvvvvvvvvvvvvvvvvvvvvvvvvvvv.pdf019348000101011 (27)vvvvvvvvvvvvvvvvvvvvvvvvvvvv.pdf
019348000101011 (27)vvvvvvvvvvvvvvvvvvvvvvvvvvvv.pdfRenandantas16
 
Catálogo Bones de Four Jeans de 24 03 2024
Catálogo Bones de Four Jeans de 24 03 2024Catálogo Bones de Four Jeans de 24 03 2024
Catálogo Bones de Four Jeans de 24 03 2024mikaelfoxdevs
 
Prova da PPL Enem reapliaçõ de 2023 com todas as questões
Prova da PPL Enem reapliaçõ de 2023 com todas as questõesProva da PPL Enem reapliaçõ de 2023 com todas as questões
Prova da PPL Enem reapliaçõ de 2023 com todas as questõesBeth282646
 
Catálogo Feminino Four Jeans de 03 04 2024
Catálogo Feminino Four Jeans de 03 04 2024Catálogo Feminino Four Jeans de 03 04 2024
Catálogo Feminino Four Jeans de 03 04 2024mikaelfoxdevs
 

Último (6)

material sobre poesia de Hilda Hilst, poeta
material sobre poesia de Hilda Hilst, poetamaterial sobre poesia de Hilda Hilst, poeta
material sobre poesia de Hilda Hilst, poeta
 
Identidade e Gênero A(1).pptkkkkkkkkkkkl
Identidade e Gênero A(1).pptkkkkkkkkkkklIdentidade e Gênero A(1).pptkkkkkkkkkkkl
Identidade e Gênero A(1).pptkkkkkkkkkkkl
 
019348000101011 (27)vvvvvvvvvvvvvvvvvvvvvvvvvvvv.pdf
019348000101011 (27)vvvvvvvvvvvvvvvvvvvvvvvvvvvv.pdf019348000101011 (27)vvvvvvvvvvvvvvvvvvvvvvvvvvvv.pdf
019348000101011 (27)vvvvvvvvvvvvvvvvvvvvvvvvvvvv.pdf
 
Catálogo Bones de Four Jeans de 24 03 2024
Catálogo Bones de Four Jeans de 24 03 2024Catálogo Bones de Four Jeans de 24 03 2024
Catálogo Bones de Four Jeans de 24 03 2024
 
Prova da PPL Enem reapliaçõ de 2023 com todas as questões
Prova da PPL Enem reapliaçõ de 2023 com todas as questõesProva da PPL Enem reapliaçõ de 2023 com todas as questões
Prova da PPL Enem reapliaçõ de 2023 com todas as questões
 
Catálogo Feminino Four Jeans de 03 04 2024
Catálogo Feminino Four Jeans de 03 04 2024Catálogo Feminino Four Jeans de 03 04 2024
Catálogo Feminino Four Jeans de 03 04 2024
 

Aula11.pdf

  • 1. Aula 11 Integrando Segurança ao Processo de Desenvolvimento de Software Prof. Leonardo Lemes Fagundes
  • 2. A educação faz com que as pessoas sejam fáceis de guiar, mas difíceis de arrastar; fáceis de governar, mas impossíveis de escravizar. Peter Drucker
  • 3.  Divulgação das Notas do Grau A  Introdução  Panorama Geral Sobre Vulnerabilidades  Ciclo de Vida de Desenvolvimento Seguro  Considerações Finais  Referências Bibliográficas Agenda
  • 4.  Entendendo o Contexto Atual  Surgimento de vulnerabilidades em larga escala;  Toolkits para ataques disponíveis na Internet;  Busca por conformidade (aspectos legais, padrões e normas); Introdução
  • 5.  Entendendo o Contexto Atual (continuação ...)  Alguns Mitos  Desenvolvedores versus Analistas de Segurança;  A linguagem “X” é mais segura que “Y”;  Alguns Fatos  Falta qualificação técnica das equipes;  O processo de desenvolvimento precisa ser revisto; Introdução
  • 6.  A natureza das vulnerabilidades  Bugs de Projeto  Bugs de Implementação  Aplicação  Plataforma / Arquitetura  Bugs de Configuração Panorama Geral Sobre Vulnerabilidades
  • 7. 1. Code Injection 2. Cross Site Scripting 3. Broken Authentication and Session Management 4. Insecure Direct Object References 5. Cross Site Request Forgery (CSRF) Panorama Geral Sobre Vulnerabilidades 6. Security Misconfiguration 7. Failure to Restrict URL Access 8. Unvalidated Redirects 9. Insecure Cryptographic Storage 10. Insufficient Transport Layer Protection OWASP TOP 10 (2010) Fonte: Owasp Top 10 – 2010 rc1
  • 8.  SoftwareDevelopment Life Cycle (SDLC)  Framework que descreve as atividades de cada um dos estágios de um projeto de desenvolvimento de software.  Diferentes metodologias de desenvolvimento.  Estágios: Requisitos, Projeto, Implementação, Teste, Manutenção Ciclo de Vida de Desenvolvimento de Software
  • 9.  SecurityDevelopment Lifecycle (SDL)  Conjunto de práticas de segurança da informação incorporados aos estágios de um processo de desenvolvimento de software. Ciclo de Vida de Desenvolvimento de Software
  • 10. Ciclo de Vida de Desenvolvimento de Software Seguro Requisitos • Identificação dos requisitos de segurança; • Identificar os tipos de informações; • Identificar a categoria do sistema; • Análise e avaliação de riscos preliminares;
  • 11. Ciclo de Vida de Desenvolvimento de Software Seguro Projeto • Análise e avaliação de riscos; • Modelagem de ameaças; • Seleção de controles; • Definição da arquitetura de segurança;
  • 12. Ciclo de Vida de Desenvolvimento de Software Seguro Codificação • Análise e avaliação de riscos; • Análise estática; • Lista aprovada de ferramentas; • Lista de funções e bibliotecas inseguras / proibidas;
  • 13. Ciclo de Vida de Desenvolvimento de Software Seguro Verificação • Análise e avaliação de riscos; • Definir planos / estratégicas de teste; • Análise dinâmica • Análise de vulnerabilidades
  • 14. Ciclo de Vida de Desenvolvimento de Software Seguro Liberação • Análise e avaliação de riscos; • Revisão “Final” de Segurança; • Planos de resposta a incidentes;
  • 15. Ciclo de Vida de Desenvolvimento de Software Seguro Resposta • Execução do plano de resposta a incidentes;
  • 16.
  • 17.  Quanto mais cedo forem incorporados os controles de segurança ao processo de desenvolvimento de software, menores os riscos de incidentes, melhor será o processo;  Convém que o processo de integração entre segurança da informação e o desenvolvimento de software seja flexível. Considerações Finais
  • 19.  Conjunto de práticas que podem auxiliar ao ciclo de vida de desenvolvimento de software seguro:  Systems Security Engineering Capability Maturity Model (SSE-CMM);  Software Assurance Forum for Excellence in Code (SAFEcode);  Security Quality Requirements Engineering (SQUARE);  Security Requirements Engineering Process (SREP);  Common Criteria (CC) ; Considerações Finais
  • 20. Anexo A – Abuse Case
  • 21. Anexo B – Attack Trees
  • 22. Anexo C – Modelagem de Ameaças
  • 23. Anexo D – Modelagem de Ameaças