segurança na cadeia de fornecimento de software
DESCRIPTION
Consciencialização sobre a responsabilidade partilhada entre fornecedores e clientes na garantia da segurança do software desde a concepção até a implantação, perfazendo a cadeia de fornecimento de software.TRANSCRIPT
Segurança na Cadeia de Fornecimento de Software
Por: Leivan de Carvalho
27 e 28 de Março 2014Centro de Convenções de Talatona
Luanda - Angola
Todos Confiamos no Pai Natal e nas suas magníficas prendas!
Desenvolvidas com perfeição pelos seus engenhosos Duendes…
(…) para a alegria dos
bem comportadose tristeza dos
mal comportados!
Injecção SQL Deficiências no controlo de acesso Inputs não validados Exposição de dados sensíveis Buffer overflows Configurações de segurança incorretas …
Vulnerabilidades
Quando são negligenciados
Procedimentos de Segurança na Cadeia de Fornecimento!
O nível de confiança de que o software está livrede vulnerabilidades, quer sejam intencionais ou
acidentalmente inseridas em qualquer momento durante seu ciclo de
vida; e de que o software funciona da maneira pretendida.
Cadeia de Fornecimento de Software
*Figura original em SAFECode.org
Fornecedor de Software
Software de fabricantes de equipamentos originais (OEMs)
Software construído por terceiros
Repositórios de Open Source Software
Verificação dos componentes que
são integrados nos produtos
Actividades de Engenharia de Softwarecom ênfase na Segurança
Ciclo de vida de desenvolvimento de software seguro!
Touchpoints
Implementação pode ser auxiliada com uso de
frameworks
Cenário
Equipa de desenvolvimento• Metodologia SCRUM• Estórias de Usuário (Como…Quero…Para)• Product Backlog• Sprint Backlog• Tarefas
Sistema Crítico• Disponibilidade a 100%• Máximo de sigilo• Gestão dos participantes
Cenário
Estórias de Utilizadores Maliciosas• Como Entidade maliciosa quero introduzir código malicioso para uso abusivo
do sistema• Como Entidade maliciosa quero criar falsos registros de participantes
automaticamente para provocar negação de serviços e uso abusivo do sistema• Como Entidade maliciosa quero obter informações técnicas sobre o sistema
para causar danos
Estórias de Utilizadores• Como dono quero visualizar as apostas em tempo real para ter noção
do fluxo de receitas• Como dono quero eliminar concursos com elevadas vitórias para
controlar os riscos
Cenário Tarefas de Segurança• Modelar ameaças• Implementar validação de Input• Encriptar dados dos clientes• Elaborar casos de testes de segurança na UI Cliente• Eliminar definições default no Ambiente de Produção• …
*Figura original em SAFECode.org
Cliente consciente e
activo!
Confidencialidade
Integridade
Segurança da Informação
Disponibilidade
• Projectos de software em Sectores Estratégicos para Soberania doEstado (Defesa, Energia, Minas e Administração do Território) semacompanhamento especializado e independente à nível dasegurança da informação
• Não adopção de metodologias de desenvolvimento de softwareseguro pelas equipas em organismos públicos e privados
• Acesso às informações críticas sem níveis de privilégiosestabelecidos
• Divulgação das tecnologias sensíveis utilizadas em sistemasdesenvolvidos
• Uso de Dados de Produção em ambientes de Testes eDesenvolvimento desrespeitando políticas e boas práticas
• Não utilização de métodos para inspeção de código em tarefas deTestes e Verificação
• …
Leivan de Carvalho
Muito Obrigado!
E-mail: [email protected]: www.kalueki.com
Consultor de Engenharia de Software & Segurança