ATPS: Desenvolvimento de software seguro
Seminário: ATPS: Desenvolvimento de software seguro. Pesquise 862.000+ trabalhos acadêmicosPor: jcsefamilia • 30/11/2013 • Seminário • 4.836 Palavras (20 Páginas) • 480 Visualizações
Faculdade Anhanguera de Osasco
Tecnologia em Analise e Desenvolvimento de Sistema
ATPS - Etapas 1 a 5
DESENVOLVIMENTO DE SOFTWARE SEGURO
Professor: Marcos
Osasco – SP
2013
Faculdade Anhanguera de Osasco
Tecnologia em Analise e Desenvolvimento de Sistema
ATPS - Etapas 1 a 5
DESENVOLVIMENTO DE SOFTWARE SEGURO
Professor: Marcos
Nome dos Autores
Osasco – SP
2013
SUMARIO
ESCOPO............................................................................................................... 03
LISTA DE PRINCÍPIOS DE SEGURANÇA.....................…………………...03
PRINCÍPIOS DE SEGURANÇA........................................................................03
RELATÓRIO 1: DESENVOLVENDO SOFTWARES SEGUROS.................. 04
RELATÓRIO 2: EVITANDO ESTOURO DE BUFFER........... .…………...... 05
RELATÓRIO 3: UTILIZANDO CRIPTOGRAFIA……………….……..…....06
RELATÓRIO 4: EVITANDO ATAQUES SQL INJECTION.............................11
RELATÓRIO 5: EVITANDO ATAQUES RCP E DDOS....................................17
RELATÓRIO 6 :TESTES DE SEGURANÇA E INSTALAÇÃO DE SOFTWARE SEGUROS.................................................................................................................18
REFERENCIAS BIBLIOGRÁFICAS......................................................................19
Escopo:
LISTA DE PRINCÍPIOS DE SEGURANÇA
Confidencialidade
Disponibilidade
Integridade
Autenticidade
Conformidade
PRINCÍPIOS DE SEGURANÇA
Confidencialidade: proteger informações contra sua divulgação para alguém não autorizado, dentro ou fora da empresa.
Na fase de projeto, é salutar que a documentação de requisitos, que contém informações de todos os processos de negócio envolvidos, seja utilizada somente pela equipe do projeto e para fins específicos. A equipe (interna ou da empresa contratada) deve se responsabilizar pela confidencialidade dos documentos. Na fase de desenvolvimento, cuidar para que o código-fonte, bem como tudo o que é produzido pela equipe de desenvolvimento, fique nos domínios da empresa. Estudar a viabilidade do uso de criptografia. As aplicações que serão acessadas externamente não devem expor informações confidenciais da empresa. Quando da implantação, enfatizar o uso consciente das informações em manuais de utilização e processos de treinamento.
Disponibilidade: garantir os serviços prestados pelo sistema sempre que forem solicitados. Na fase de projeto, analisar de maneira ampla os pontos de fragilidade das aplicações. Na fase de desenvolvimento, tratar exceções a fim de contornar possíveis problemas. Testes de stress são importantes. Na implantação, viabilizar soluções de contingência e recuperação de dados.
Integridade: controlar modificações em informações proprietárias. No desenvolvimento, atentar para o acesso aos bancos de dados, que deve ser efetuado de forma a não comprometer qualquer elemento do fluxo de dados. A utilização de um Sistema de Gerenciamento de Banco de Dados (SGBD) bem configurado é imprescindível. Com o sistema em funcionamento, verificar periodicamente o log de alterações de objetos críticos.
Autenticidade: identificar corretamente todo e qualquer elemento em um sistema de informação (usuário, equipamento, etc.). Na fase de projeto, definir com critério o papel de cada ator em cada processo para estruturar os perfis de acesso ao sistema. Na implantação, envolver a equipe de comunicação da empresa na organização de campanhas de conscientização para a segurança da informação.
Conformidade: cuidar para que nenhum recurso tecnológico esteja em desacordo com a legislação vigente. Na fase de projeto, alinhar junto aos gestores de direito, tributos e auditoria quais requisitos deve ser respeitado no desenho do software.
RELATÓRIO 1: DESENVOLVENDO SOFTWARES SEGUROS
É fato que dados e informações representam algo invisível, abstrato e colabora para que a maioria das empresas não os considere algo a ser protegido - embora, curiosamente, dependam deles para sobreviver. Outro argumento é de que segurança da informação não gera receita direta. Contudo, investir em segurança da informação é importante. São custos justificados quando levados em conta os benefícios agregados. É necessário cuidar das informações de uma empresa porque o conjunto destas, forma um bem de grande valor. Como em um seguro de veículos, onde a relação entre o custo da apólice e o prejuízo evitado no caso de ocorrer um sinistro, segurança da informação também vale o quanto pesa.
O sucesso de
...