Escolar Documentos
Profissional Documentos
Cultura Documentos
Confidencialidade
Integridade
Disponibilidade
SOFTWARE RESILIENTE: após uma falha consegue se antecipar e se recuperar , sem ferir os
conceitos basicosDisponibilidade.
Eficiência.
Interoperabilidade.
Coesão.
Desacoplamento.
Manutenibilidade.
Privacidade.
Confiabilidade.
Escalabilidade.
A SDL consiste em uma metodologia que visa garantir uma melhoria de segurança aos
desenvolvedores de sistemas
FASES SDL
5 fases:
Requisitos e design - É neste ponto que devemos pensar sobre os controles de segurança a
serem projetados.
Verificação - como fazer para que o código atenda aos requisitos de segurança e de
privacidade preestabelecidos.
Liberação e resposta – libera o projeto pra entrega. Planejamento execução efetiva de
processos de manutenção pós lançamento até a resolução de aspectos de vulnerabilidades de
segurança que poderiam ocorrer no futuro
O Manifesto Ágil foi escrito em 2001 com o intuito de definir uma série de princípios a serem
internalizados e executados no dia a dia de um projeto de software.
DEFESA EM PROFUNDIDADE
MANTENHA A SEGURANÇA SIMPLES - O uso de controles claros e concisos reduz o risco por ser
simples de implementar e de utilizar.
Exemplo: desinstalar serviços e softwares não utilizados reduz a superfície de ataque de um
servidor e é um mecanismo simples para obter maior segurança.
DETECTE INTRUSOES
IMPORTANCIA
FLEXIBILIDADE - regra possa ser implementada sem ferir a liberdade criativa dos
desenvolvedores.
OBJETIVIDADE
SANÇOES DISCIPLINARES – deve ser descrito o que ocorre com o não cumprimento dos
procedimentos
DIRETRIZES
MANUAL DE INSTRUÇOES
Autenticidade
Integridade
Disponibilidade
Não repudio
Confiabilidade
Assim como para a política de segurança, os requisitos de segurança devem estar atrelados a
normas. Além disso, o engenheiro de requisitos deve estar atento às práticas e frameworks,
como o OWASP, que apresenta não apenas conceitos, mas ferramentas para melhorar a
segurança de um sistema.
ESPECIFICAÇAO FORMAL
MICROSSERVIÇOS – possibilita criação de sistemas mais disponíveis e com facilidade para seus
testes, uma abordagem para desenvolver uma aplicação como um conjunto de pequenos
serviços, cada um processo isolado e se comunica entre eles por meio de mecanismos leves
Estando segmentados, alguns pilares são mais facilmente implementados; já outros, como a
autenticidade, normalmente requerem novas práticas.
CERT responsável pela investigação de crimes digitais, O CERT não só determina as diretrizes
de uso dos serviços de internet, mas também as regulamentações que permeiam diversas
tecnologias.
Ao longo do tempo o sistema deixa de responder as necessidades, seja falhas ou fazer uma
manutenção corretiva seja para evolução/adição de funcionalidades
TESTES DE SEGURANÇA
Verificação e validação - verificação das falhas deve ser aliadas a validação das correções
empregadas
Testes de penetração em softwares – pen tests, também os SAST que é capaz de avaliar o
código em si, também reduz o tempo de identificação de falhas
PROGRAMÇAO SEGURA
Repositório de códigos
Versionamento de códigos
desenvolvimento e a utilização de APIs RESTful têm possibilitado a descentralização de
processamento de sistemas
incluir a segurança desde o início do processo significa automatizar os processos que envolvam
segurança, sem permitir que essa automatização comprometa o desempenho.
NoOps – nível de automação amplo, eliminando se possível pessoal nas atividades, exemplo:
PaaS (Plataform as a Service)
É necessário para validação da identidade do desenvolvedor que produiu parte do código a ser
adicionado no repositório, para que tenha uma origem confiável, evitando códigos maliciosos
junto a versão do produto