Ciclo de Vida do Desenvolvimento Seguro

Ciclo de Vida do Desenvolvimento Seguro, ou SDL (do inglês Security Development Lifecycle), é um processo que consiste na inserção de várias atividades e produtos relacionados a segurança na fase de desenvolvimento de software, como modelagem de ameaças, análise estática do código com uso de ferramentas, revisão de código, testes de segurança direcionados e uma revisão final de segurança, minimizando o surgimento de vulnerabilidades.[1][2][3]

Foi proposto e utilizado inicialmente pela Microsoft em janeiro de 2004 para reduzir os custos de manutenção de software e aumentar a confiabilidade do software no que se relaciona a bugs de segurança. Baseia-se no clássico modelo em espiral.[1] Atualmente o processo está na versão 5.2, de 23 de maio de 2012.[4]

Visão geral

O SDL faz uso de um conjunto de princípios de alto nível conhecido como SD3+C:[1]

  • Seguro por Projeto (Design): a arquitetura, o projeto e a implementação do software devem ser executados de forma a protegê-lo e proteger as informações que ele processa, além de resistir a ataques.
  • Seguro por Padrão (Default): visto que na prática é impossível obter uma segurança perfeita os projetistas devem considerar a possibilidade de haver falhas de segurança.
  • Seguro na Implantação (Deployment): o software deve conter ferramentas e orientação que ajudem os usuários finais e/ou administradores a usá-lo com segurança, assim como a implantação das atualizações deve ser fácil.
  • Comunicações: os desenvolvedores de software devem estar preparados para a descoberta de vulnerabilidades do produto e devem comunicar-se de maneira aberta e responsável com os usuários finais e/ou com os administradores para ajudá-los a tomar medidas de proteção (como instalar patches ou implantar soluções alternativas).

Todos os elementos do SD3+C impõem requisitos no processo de desenvolvimento, mas os dois primeiros elementos, seguro por design e seguro por padrão, fornecem as maiores vantagens de segurança. Seguro por design determina os processos que têm por objetivo impedir a introdução de vulnerabilidades em primeiro lugar, enquanto seguro por padrão requer que a exposição padrão do software, sua superfície de ataque, seja minimizada.

Fases

Há um total de 7 fases para a implementação do SDL:[5]

Formação

Essa fase é um pré-requisito para a implementação do SDL e visa a formação de um núcleo de treinamento e atualização. É realizada uma atualização sobre os princípios básicos de segurança e tendências recentes de segurança e privacidade, assim como treinamento de conceitos fundamentais para a construção de um software melhor. Entre estes conceitos estão incluídos projeto seguro, modelagem de ameaças, codificação segura, testes de segurança e melhores práticas para privacidade.

É ainda nessa fase que é definida a freqüência mínima de treinamento e o limiar mínimo aceitável para grupos de treinamento.

Requisitos 

Nessa fase definem-se portões de qualidade e analisa os riscos de segurança e privacidade. O time de desenvolvimento identifica requerimentos de segurança e privacidade,

Projeto

Nessa fase é feita a modelagem de ameaças e a análise de superfície de ataque (ou vulnerabilidade). A modelagem de ameaças consiste no levantamento de contra-medidas de segurança que resolvem as ameaças ao software. A análise de superfície de ataque consiste em fazer um levantamento de formas de acesso do aplicativo ou componente.

Implementação

Nessa fase são especificadas ferramentas de segurança, listas de verificação, reforçadas funções proibidas e realizada a análise estática, assim como são adotadas as melhores práticas de codificação segura para ajudar a implementar um projeto seguro.

Verificação

Nessa fase são realizados testes dinâmicos de difusão (fuzz) e verificados os modelos de ameaças e a superfície de ataque. Os testes de difusão consistem em tomar dados válidos, metamorfoseá-los e depois observar um aplicativo que empregue esses dados, verificando se aplicação se comporta adequadamente ou apresenta algum tipo de falha de segurança. Em sua forma mais simples, pode-se criar uma biblioteca de arquivos válidos que o aplicativo utilize e depois usar uma ferramenta para corromper sistematicamente um arquivo e fazer o aplicativo executá-lo ou processá-lo no verificador de aplicativos com verificação de heap habilitada para ajudar a descobrir mais erros.

Lançamento

Nessa fase é definido o plano de resposta, a revisão de segurança final (FSR) e a liberação de arquivo. A FSR é executada pela equipe de segurança central com ajuda da equipe de produto, mas não apenas pela equipe de produto. No final do processo FSR, as descobertas são anotadas e é tomada uma decisão sobre o lançamento do software ou o retrabalho de seções.

Resposta

Nessa fase é realizada a execução de resposta, que consiste de duas partes principais:

  • responder a defeitos de segurança e trabalhar com pessoas que descobrem problemas de segurança no código.
  • aprender com os erros, através da análise e documentação da causa dos defeitos.

Referências

  1. a b c «O ciclo de vida do desenvolvimento da segurança de computação confiável». msdn.microsoft.com. Consultado em 22 de setembro de 2016 
  2. «Uma análise do ciclo de vida do desenvolvimento da segurança na Microsoft: Por Michael Howard». www.microsoft.com. Consultado em 22 de setembro de 2016 
  3. Barbosa, Eber Donizeti; Reinaldo de Oliveira (13 de fevereiro de 2016). «Desenvolvimento de Software Seguro: Conhecendo e Prevenindo Ataques Sql Injection e Cross-site Scripting(XSS)». Revista T.I.S. 4 (1). ISSN 2316-2872 
  4. «Microsoft Security Development Lifecycle». www.microsoft.com. Consultado em 22 de setembro de 2016 
  5. «Microsoft Security Development Lifecycle (SDL)». Techsurface. Consultado em 22 de setembro de 2016 

Bibliografia

  • HOWARD, Michael; LIPNER, Steve.The security development lifecycle: SDL, a process for developing demonstrably more secure software (em inglês) Microsoft Press [S.l.] ISBN 0735622140.
  • ELIAS, Wagner; CABRAL, Carlos (org.); CAPRINO, Willian (org.). Trilhas em Segurança da Informação: Caminhos e ideias para a proteção de dados. Brasport [S.l.] 2015-01-08. ISBN 9788574526867.
Ícone de esboço Este artigo sobre informática é um esboço. Você pode ajudar a Wikipédia expandindo-o.

Read other articles:

Selección de fútbol de Escocia

Para la selección femenina, véase selección femenina de fútbol de Escocia. Selección de fútbol de Escocia Datos generalesPaís EscociaCódigo FIFA SCOFederación Asociación Escocesa de FútbolConfederación UEFASeudónimo(s) The Tartan Army (El ejército de Tartán)Seleccionador  Steve Clarke (desde 2019-)Capitán Andrew RobertsonMás goles Kenny Dalglish (30)Denis Law (30)Más partidos Kenny Dalglish (102)Clasificación FIFA 36.° en abril de 2023[1]​Estadio(s) Hampden Park...

 

1940

Iste articlo ye en proceso de cambio enta la ortografía oficial de Biquipedia (la Ortografía de l'aragonés de l'Academia Aragonesa d'a Luenga). Puez aduyar a completar este proceso revisando l'articlo, fendo-ie los cambios ortograficos necesarios y sacando dimpués ista plantilla. Anyos: 1937 1938 1939 - 1940 - 1941 1942 1943 Decenios: Anyos 1930 - Anyos 1940 - Anyos 1950 Sieglos: Sieglo XIX - Sieglo XX - Sieglo XXI Escaicimientos Aragón Atros países Mayo Mapa d'as operacions militars mi...

 

David Unaipon

Australian preacher, inventor & author David NgunaitponiDavid Unaipon (Anglicisation)Unaipon in the late 1920sBornDavid Ngunaitponi(1872-09-28)28 September 1872Point McLeay Mission, South Australia, British EmpireDied7 February 1967(1967-02-07) (aged 94)Tailem Bend, South Australia, AustraliaNationalityAboriginal Australian (Portaulun)[1]EducationRaukkan mission schoolSpouseKatherine Carter (née Sumner)Parents Nymbulda?[a] (mother) James Ngunaitponi (father) Dav...

Sandjak de Novipazar

Cet article est une ébauche concernant l’histoire, la Serbie, l’Empire ottoman et le Monténégro. Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants. Sandjak de Novipazar 1864–1913 Informations générales Statut Sandjak de l'Empire ottoman Capitale Novi Pazar Histoire et événements 1864 Formation et intégration au Vilayet de Bosnie 1877 Intégration au Vilayet du Kosovo 1878 Occupation par l'Autriche-Hong...

 

Банадзор

Село Банадзорвірм. Բանաձոր Координати 39°27′12″ пн. ш. 47°00′45″ сх. д.H G O Країна  Нагірно-Карабаська Республіка Нагірно-Карабаська РеспублікаРайон ГадрутськийВисота центру 802 мНаселення 143 особи (2005)Національний склад вірмениКонфесійний склад Вірмен

 

Gereja Saksi-Saksi Yehuwa

Bagian dari seriSaksi-Saksi Yehuwa Ikhtisar Struktur organisasi Badan Pimpinan Watch Tower Bibleand Tract Society Badan usaha Sejarah Gerakan Siswa Alkitab Sengketa kepemimpinan Kelompok-kelompok pecahan Perkembangan doktrin Prediksi-prediksi keliru Demografi Menurut negara-negara KepercayaanRitual KeselamatanEskatologi 144.000 Hamba yang setia dan bijaksana HymneNama Tuhan DarahDisiplin Literatur Menara PengawalSadarlah! Kitab Suci Terjemahan Dunia Baru Daftar publikasi Daftar pustaka Progra...

Onechanbara Z2: Chaos

2014 video gameOnechanbara Z2: ChaosCover art for the Limited EditionDeveloper(s)TamsoftPublisher(s)JP: D3 PublisherNA: Marvelous USAEU: NIS AmericaDirector(s)Shunsuke TezukaProducer(s)Shintarō NakaokaArtist(s)Shunsuke TezukaWriter(s)Goki Miura, Shunsuke TezukaComposer(s)Akihi Motoyama, Mutsumi Ishimura, Keisuke Sugiyama, Yuki MoriSeriesOneeChanbaraEnginePhyreEnginePlatform(s)PlayStation 4, Microsoft WindowsReleaseJP: October 30, 2014NA: July 21, 2015AU: August 27, 2015EU: August 28, 2015Mic...

 

ANGPTL3

ANGPTL3 التراكيب المتوفرة بنك بيانات البروتينOrtholog search: PDBe RCSB قائمة رموز معرفات بنك بيانات البروتين 6EUA المعرفات الأسماء المستعارة ANGPTL3, ANG-5, ANGPT5, ANL3, FHBL2, angiopoietin like 3 معرفات خارجية الوراثة المندلية البشرية عبر الإنترنت 604774 MGI: MGI:1353627 HomoloGene: 8499 GeneCards: 27329 علم الوجود الجيني الوظيفة الج...

 

بنجاب (لاريجان السفلي)

  لمعانٍ أخرى، طالع بنجاب (توضيح). بنجاب پنجاب  - قرية -  تقسيم إداري البلد  إيران المحافظة مازندران المقاطعة مقاطعة آمل الناحية لاريجان القسم الريفي قسم لاریجان السفلی الريفي إحداثيات 36°05′56″N 52°15′14″E / 36.09889°N 52.25389°E / 36.09889; 52.25389 السكان التعداد...

1992 United States Senate election in Indiana

U.S. Senate election in Indiana 1992 United States Senate election in Indiana ← 1990 (special) November 3, 1992 1998 →   Nominee Dan Coats Joe Hogsett Party Republican Democratic Popular vote 1,267,972 900,148 Percentage 57.34% 40.70% County resultsCoats:      40–50%      50–60%      60–70%      70–80%Hogsett:      40–50%  ...

 

Capture de Tobrouk (1941)

Ne doit pas être confondu avec Capture de Tobrouk (1942). Capture de Tobrouk (1941) Hommes 2/11e bataillon de la 6e division d'infanterie australienne après la capture de Tobrouk. Informations générales Date 6 — 22 janvier 1941 Lieu Tobrouk, Libye32° 04′ 34″ N, 23° 57′ 41″ E Issue Victoire des Alliés Belligérants Royaume-Uni Australie Royaume d'Italie Commandants Henry Maitland Wilson Richard O'Connor Iven Mackay Rodolfo Graziani Giuseppe Teller...

 

Life on Mars

Scientific assessments on the microbial habitability of Mars For other uses, see Life on Mars (disambiguation). Exobiology on Mars redirects here. For the space mission, see ExoMars. This article is one of a series on:Life in the universe Outline Planetary habitability in the Solar System Venus Earth Mars Europa Enceladus Titan Life outside the Solar System Potentially habitable exoplanets Galactic habitable zone Habitability of binary star systems Habitability of natural satellites Habitabil...

La Passione (2010 film)

2010 Italian comedy film La PassioneFilm posterDirected byCarlo MazzacuratiWritten byUmberto ContarelloDoriana LeondeffCarlo MazzacuratiMarco PettenelloProduced byDomenico ProcacciStarring Silvio Orlando Giuseppe Battiston Kasia Smutniak Marco Messeri Maria Paiato Fausto Russo Alesi Cristiana Capotondi Stefania Sandrelli Corrado Guzzanti CinematographyLuca BigazziMusic byCarlo Crivelli , Orchestra Citta Aperta conducted by Robin O'NeilProductioncompanyFandangoRelease dates 3 September...

 

35

34 ← 35 → 36素因数分解 5×7二進法 100011三進法 1022四進法 203五進法 120六進法 55七進法 50八進法 43十二進法 2B十六進法 23二十進法 1F二十四進法 1B三十六進法 Zローマ数字 XXXV漢数字 三十五大字 参拾五算木 35(三十五、さんじゅうご、みそじあまりいつつ)は自然数、また整数において、34の次で36の前の数である。 性質 35 は合成数であり、正の約数は 1, 5, 7, 35 である...

 

Peter S. Donaldson

American Shakespearean scholar This article may rely excessively on sources too closely associated with the subject, potentially preventing the article from being verifiable and neutral. Please help improve it by replacing them with more appropriate citations to reliable, independent, third-party sources. (July 2022) (Learn how and when to remove this template message) Peter S. DonaldsonAcademic backgroundEducation Columbia University (BA, PhD) University of Cambridge (BA) Academic workDiscip...

SMA Negeri 10 Yogyakarta

Topik artikel ini mungkin tidak memenuhi kriteria kelayakan umum. Harap penuhi kelayakan artikel dengan: menyertakan sumber-sumber tepercaya yang independen terhadap subjek dan sebaiknya hindari sumber-sumber trivial. Jika tidak dipenuhi, artikel ini harus digabungkan, dialihkan ke cakupan yang lebih luas, atau dihapus oleh Pengurus.Cari sumber: SMA Negeri 10 Yogyakarta – berita · surat kabar · buku · cendekiawan · JSTOR (Pelajari cara dan kapan saatny...

 

Cotes, Valencia

This article relies largely or entirely on a single source. Relevant discussion may be found on the talk page. Please help improve this article by introducing citations to additional sources.Find sources: Cotes, Valencia – news · newspapers · books · scholar · JSTOR (February 2022) Municipality in Valencian Community, SpainCotesMunicipalityCotesLocation in SpainCoordinates: 39°4′15″N 0°34′27″W / 39.07083°N 0.57417°W ...

 

Elingen

This article does not cite any sources. Please help improve this article by adding citations to reliable sources. Unsourced material may be challenged and removed.Find sources: Elingen – news · newspapers · books · scholar · JSTOR (May 2021) (Learn how and when to remove this template message) Elingen church Elingen is a village in the municipality of Pepingen, in the Belgian province of Flemish Brabant. 50°46′47″N 4°10′16″E / ...

Nelson Kwami Maglo

Ghanaian politician This article is an orphan, as no other articles link to it. Please introduce links to this page from related articles; try the Find link tool for suggestions. (October 2022) Nelson Kwami Maglo was a Ghanaian politician in the first republic. He was the member of parliament for the Anlo North Constituency from 1956 to 1965 and the Avenor Constituency from 1965 to 1966.[1][2][3][4] Early life and education Maglo was born on 24 December 1913 in...

 

Asfivirus

Asfivirus TaksonomiSuperdomainBiotaDomainVirusDuniaVaridnaviriaKerajaanBamfordviraeFilumNucleocytoviricotaKelasPokkesviricetesOrdoAsfuviralesFamiliAsfarviridaeGenusAsfivirus Tipe taksonomiAfrican swine fever virus lbs Asfivirus adalah genus virus yang hanya memiliki satu spesies, yaitu virus demam babi afrika yang menyebabkan penyakit demam babi afrika. Virus ini merupakan satu-satunya genus dalam famili Asfarviridae.[1] Virus ini dikelompokkan dalam grup I dalam sistem klasifikasi Ba...

 

Strategi Solo vs Squad di Free Fire: Cara Menang Mudah!