ATPS DSS

12JUN15

Segurança em Software

Requisitos de Segurança

É um conjunto de necessidades de segurança que o software deve atender, sendo tais necessidades influenciadas fortemente pela politica de segurança da organização e compreendendo aspectos funcionais e não funcionais.

Aspectos funcionais descrevem comportamentos que viabilizam a criação e a manutenção de segurança, geralmente podem ser testados diretamente, Na maioria dos casos, remetem a mecanismos de segurança como, por exemplo, controle de acesso baseado em papeis de usuários(administradores, usuários comuns, entre outros), autenticação com uso de credenciais (usuários, senha, certificado digital e outros).

Aspectos não funcionais descrevem procedimentos necessários para que o software permaneça executando suas funções adequadamente mesmo sob uso indevido.

São exemplos de requisitos não funcionais:

Validação de dados de entra e o registro de eventos em log de auditoria com informação suficiente para analise Forense.

Algumas técnicas mais usadas para levantamento de requisitos são:

• Brainstorming
• Pesquisas de opinião
• Decomposição da politica
• Classificação de dados
• Matriz objeto-sujeito
• Modelagem de caso de uso e abuso

Independentemente da técnica, requisitos de segurança devem ser respeitados:

• Confidencialidade
• Integridade
• Disponibilidade
• Autorização
• Auditing and logging
• Erros e gerenciamento de exceção

Boas praticas para desenvolvimento de software seguro

Normalmente uma má gestão no processo de desenvolvimento de software pode levar a um código mal estruturado e por sua vez problemas de segurança. Por outro lado, software de qualidade é desenvolvido com uma abordagem estruturada e ferramentas de apoio.

Praticas relacionadas:

• 1 gerenciamento de código fonte
• 2 realização de testes
• 3 gerenciamento de correção e bugs
• 4 Utilização de processo de integração continua
• 5 Documentação do software e da arquitetura que suporta
• 6 Utilização de padrões de código segura e checklists

...