Segurança na Cadeia de Fornecimento de Software
Por: Leivan de Carvalho
27 e 28 de Março 2014Centro de Convenções de Talatona
Luanda - Angola
Injecção SQL Deficiências no controlo de acesso Inputs não validados Exposição de dados sensíveis Buffer overflows Configurações de segurança incorretas …
Vulnerabilidades
O nível de confiança de que o software está livrede vulnerabilidades, quer sejam intencionais ou
acidentalmente inseridas em qualquer momento durante seu ciclo de
vida; e de que o software funciona da maneira pretendida.
Software de fabricantes de equipamentos originais (OEMs)
Software construído por terceiros
Repositórios de Open Source Software
Verificação dos componentes que
são integrados nos produtos
Cenário
Equipa de desenvolvimento• Metodologia SCRUM• Estórias de Usuário (Como…Quero…Para)• Product Backlog• Sprint Backlog• Tarefas
Sistema Crítico• Disponibilidade a 100%• Máximo de sigilo• Gestão dos participantes
Cenário
Estórias de Utilizadores Maliciosas• Como Entidade maliciosa quero introduzir código malicioso para uso abusivo
do sistema• Como Entidade maliciosa quero criar falsos registros de participantes
automaticamente para provocar negação de serviços e uso abusivo do sistema• Como Entidade maliciosa quero obter informações técnicas sobre o sistema
para causar danos
Estórias de Utilizadores• Como dono quero visualizar as apostas em tempo real para ter noção
do fluxo de receitas• Como dono quero eliminar concursos com elevadas vitórias para
controlar os riscos
Cenário Tarefas de Segurança• Modelar ameaças• Implementar validação de Input• Encriptar dados dos clientes• Elaborar casos de testes de segurança na UI Cliente• Eliminar definições default no Ambiente de Produção• …
• Projectos de software em Sectores Estratégicos para Soberania doEstado (Defesa, Energia, Minas e Administração do Território) semacompanhamento especializado e independente à nível dasegurança da informação
• Não adopção de metodologias de desenvolvimento de softwareseguro pelas equipas em organismos públicos e privados
• Acesso às informações críticas sem níveis de privilégiosestabelecidos
• Divulgação das tecnologias sensíveis utilizadas em sistemasdesenvolvidos
• Uso de Dados de Produção em ambientes de Testes eDesenvolvimento desrespeitando políticas e boas práticas
• Não utilização de métodos para inspeção de código em tarefas deTestes e Verificação
• …
Leivan de Carvalho
Muito Obrigado!
E-mail: [email protected]: www.kalueki.com
Consultor de Engenharia de Software & Segurança
Top Related