SDL e Testes de Segurança

•

10 j'aime•3,501 vues

O documento discute a importância da segurança no desenvolvimento de software, apresentando o ciclo de vida seguro (SDL) e abordagens de teste de segurança. O SDL garante que a segurança seja considerada desde o início do desenvolvimento até o lançamento do software. Testes de segurança como fuzzing e modelagem de ameaças ajudam a identificar vulnerabilidades e corrigi-las de forma proativa.

Segurança em Desenvolvimento de Software Wagner Elias, SANS GIAC, CBCP Gerente de Pesquisa e Desenvolvimento

Agenda ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]

É mais barato identificar e corrigir de forma proativa Custo para corrigir uma vulnerabilidade Baseado no estágio que ela foi identificada $139 $455 $977 $7,136 $14,102 Fonte: "Software Defect Reduction Top 10 List," IEEE Computer, IEEE Computer Society

A maioria das aplicações possuem falhas de segurança ,[object Object],[object Object]

[object Object],[object Object],[object Object],[object Object],[object Object],Requisitos

[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],Design

[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],Implementação

[object Object],[object Object],[object Object],[object Object],Verificação

[object Object],[object Object],Lançamento

[object Object],[object Object],[object Object],[object Object],Fase de resposta

Abordagens de Testes de Segurança de Software

[object Object],[object Object],[object Object],Classificação dos testes

[object Object],[object Object],[object Object],[object Object],[object Object],White-Box

[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],Black-Box

[object Object],[object Object],[object Object],Fuzzing

Criando planos de testes com base na Modelagem de Ameaças

[object Object],[object Object],[object Object],[object Object],Modelagem de Ameaças

[object Object],[object Object],[object Object],[object Object],Conclusões

[object Object],[object Object],[object Object],Referências

Perguntas? ,[object Object],[object Object],[object Object],Associe-se OWASP (Open Web Application Security Project) http://www.owasp.org ISSA (Information System Security Association) http://www. issabrasil.org

Contenu connexe

Tendances

ISO/IEC 27005 : processus de traitement des risques et conformitéPECB

SBOM, Is It 42?Bill Bensing

Secure Coding principles by example: Build Security In from the start - Carlo...Codemotion

Basic of SSDLCChitpong Wuttanan

Secure Code Review 101Narudom Roongsiriwong, CISSP

[DevSecOps Live] DevSecOps: Challenges and OpportunitiesMohammed A. Imran

CIS Security BenchmarkRahul Khengare

10X SOC - SANS Blue Summit Keynote 2021 - Anton ChuvakinAnton Chuvakin

Secure SDLC FrameworkRishi Kant

DevSecOps Implementation JourneyDevOps Indonesia

Next-Gen security operation centerMuhammad Sahputra

SecDevOpsPeter Lamar

IBM QradarCoenraad Smith

Secure Coding 101 - OWASP University of Ottawa WorkshopPaul Ionescu

Design of security architecture in Information Technologytrainersenthil14

Zero trust Architecture AddWeb Solution Pvt. Ltd.

Palestra: Fundamentos do Desenvolvimento Seguro de SoftwaresAndre Henrique

DevSecOps - Workshop do BemBruno Dantas

Security: The Value of SBOMsWeaveworks

Secure Coding for JavaSébastien GIORIA

Tendances (20)

ISO/IEC 27005 : processus de traitement des risques et conformité

SBOM, Is It 42?

Secure Coding principles by example: Build Security In from the start - Carlo...

Basic of SSDLC

Secure Code Review 101

[DevSecOps Live] DevSecOps: Challenges and Opportunities

CIS Security Benchmark

10X SOC - SANS Blue Summit Keynote 2021 - Anton Chuvakin

Secure SDLC Framework

DevSecOps Implementation Journey

Next-Gen security operation center

SecDevOps

IBM Qradar

Secure Coding 101 - OWASP University of Ottawa Workshop

Design of security architecture in Information Technology

Zero trust Architecture

Palestra: Fundamentos do Desenvolvimento Seguro de Softwares

DevSecOps - Workshop do Bem

Security: The Value of SBOMs

Secure Coding for Java

En vedette

Engenharia de Software II - Teste de segurança de softwareJuliano Padilha

Open SansVero Marileo

Norato FrameworkPaullo Norato

Trabajo Práctico Amarimolto

QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWAREFabiano Souza

BIA - Business Impact AnalysisAllan Piter Pressi

Aula 4 - Plano de Continuidade de Negócios (PCN)Carlos Henrique Martins da Silva

Tipos de Licença de SoftwaresLucas Castejon

MRV Acre por Monica de Los Rios- Treinamento GCF- MacapáIdesam

Klinische Fallpraesentation CrystalGuide Dr. Danny DomingueMichael Gross

Présentation syndrome coronaire ST+( stemi) (dc et trt ) Reghmit 2017idriss rg

Functional Music Compositionnagachika t

Reducción de Riesgos y Daños asociados al uso de tabacoUrbano Vázquez Fernández

SESEC HeizungDITF Denkendorf

Ahorro del 15% en la gestión de residuos en el Hospital de BarcelonaManuel A. Velazquez

Albert Guisasola (UAB) - SISTEMES BIOELECTROQUÍMICS, UN LÍNIA DE RECERCA PER ...xrbiotech

20140711 g salisbury_en_soGerald Allen von Stein-Salisbury

Apresentação IaaS SaaS PaaS CorpFlexJoao_Alfredo

Evitando el despilfarro en la gestión de las bodegasManuel A. Velazquez

Enginerator go customizedBOHEZ concept & support NV

En vedette (20)

Engenharia de Software II - Teste de segurança de software

Open Sans

Norato Framework

Trabajo Práctico A

QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE

BIA - Business Impact Analysis

Aula 4 - Plano de Continuidade de Negócios (PCN)

Tipos de Licença de Softwares

MRV Acre por Monica de Los Rios- Treinamento GCF- Macapá

Klinische Fallpraesentation CrystalGuide Dr. Danny Domingue

Présentation syndrome coronaire ST+( stemi) (dc et trt ) Reghmit 2017

Functional Music Composition

Reducción de Riesgos y Daños asociados al uso de tabaco

SESEC Heizung

Ahorro del 15% en la gestión de residuos en el Hospital de Barcelona

Albert Guisasola (UAB) - SISTEMES BIOELECTROQUÍMICS, UN LÍNIA DE RECERCA PER ...

20140711 g salisbury_en_so

Apresentação IaaS SaaS PaaS CorpFlex

Evitando el despilfarro en la gestión de las bodegas

Enginerator go customized

Similaire à SDL e Testes de Segurança

Dss 3Jean Carlos da Silva

O processo de segurança em desenvolvimento, que não é ISO 15.408Conviso Application Security

Aula18_V&VTesteSoftware.pdfMichaelArrais1

Testes de Segurança de Software (tech-ed 2008)Conviso Application Security

Defesa BeckerChristian Becker

Software SeguroRafael Alves

Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc

Conceitos e fundamentos sobre testes de software e garantia da qualidaderzauza

Java securityarmeniocardoso

Be Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TISymantec Brasil

Katana Security - Consultoria em Segurança da InformaçãoMagno Logan

Segurança nos ciclos de desenvolvimento de softwaresLuiz Vieira .´. CISSP, OSCE, GXPN, CEH

Final Project (2013): Test-Driven Development applied on web applicationsLuiz Henrique

Engenharia de TestesUFPA

Aula11.pdfMaritzaDiaz76

Teste de softwareNylce Garcia

PCI DSS e Metodologias ÁgeisUlisses Albuquerque

[GUTS-RS] - Testes de Segurança: O que preciso saber para planejarGUTS-RS

Testes FuncionaisJuliana Maria Lopes

(2) O Processo de Gerenciamento de Vulnerabilidades WebKeySupport Consultoria e Informática Ltda

Similaire à SDL e Testes de Segurança (20)

Dss 3

O processo de segurança em desenvolvimento, que não é ISO 15.408

Aula18_V&VTesteSoftware.pdf

Testes de Segurança de Software (tech-ed 2008)

Defesa Becker

Software Seguro

Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...

Conceitos e fundamentos sobre testes de software e garantia da qualidade

Java security

Be Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TI

Katana Security - Consultoria em Segurança da Informação

Segurança nos ciclos de desenvolvimento de softwares

Final Project (2013): Test-Driven Development applied on web applications

Engenharia de Testes

Aula11.pdf

Teste de software

PCI DSS e Metodologias Ágeis

[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar

Testes Funcionais

(2) O Processo de Gerenciamento de Vulnerabilidades Web

Plus de Conviso Application Security

Entendendo o PCI-DSSConviso Application Security

Integrando testes de segurança ao processo de desenvolvimento de softwareConviso Application Security

Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações? Conviso Application Security

“Web Spiders” – Automação para Web HackingConviso Application Security

Building Client-Side Attacks with HTML5 FeaturesConviso Application Security

Você Escreve Código e Quem Valida?Conviso Application Security

Testar não é suficiente. Tem que fazer direito!Conviso Application Security

Implementando Segurança em desenvolvimento com a verdadeira ISOConviso Application Security

Automatizando a análise passiva de aplicações WebConviso Application Security

Você confia nas suas aplicações mobile?Conviso Application Security

Pentest em Aplicações MóveisConviso Application Security

MASP: Um processo racional para garantir o nível de proteção das aplicações w...Conviso Application Security

HTML5 Seguro ou Inseguro?Conviso Application Security

Threats from economical improvement rss 2010Conviso Application Security

Encontrando falhas em aplicações web baseadas em flashConviso Application Security

Protegendo Aplicações Php com PHPIDS - Php Conference 2009Conviso Application Security

Playing Web Fuzzing - H2HC 2009Conviso Application Security

OWASP Top 10 e aplicações .Net - Tech-Ed 2007Conviso Application Security

Abotoaduras & BonésConviso Application Security

Tratando as vulnerabilidades do Top 10 com phpConviso Application Security

Plus de Conviso Application Security (20)

Entendendo o PCI-DSS

Integrando testes de segurança ao processo de desenvolvimento de software

Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?

“Web Spiders” – Automação para Web Hacking

Building Client-Side Attacks with HTML5 Features

Você Escreve Código e Quem Valida?

Testar não é suficiente. Tem que fazer direito!

Implementando Segurança em desenvolvimento com a verdadeira ISO

Automatizando a análise passiva de aplicações Web

Você confia nas suas aplicações mobile?

Pentest em Aplicações Móveis

MASP: Um processo racional para garantir o nível de proteção das aplicações w...

HTML5 Seguro ou Inseguro?

Threats from economical improvement rss 2010

Encontrando falhas em aplicações web baseadas em flash

Protegendo Aplicações Php com PHPIDS - Php Conference 2009

Playing Web Fuzzing - H2HC 2009

OWASP Top 10 e aplicações .Net - Tech-Ed 2007

Abotoaduras & Bonés

Tratando as vulnerabilidades do Top 10 com php