6. • Adotar norma ISO/IEC 15.408 como padrão
• Seus objetivos são outros, como foco no produto e não
em segurança especificamente
• Adotar uma abordagem apenas orientada à testes
• Esse tipo de abordagem é limitada e não resolve
TODAS as questões vinculadas à segurança
• Adotar uma abordagem apenas orientada à
documentação
• Abordagem limitada, que foca em padrões de
desenvolvimento e políticas de segurança
Principais falhas
8. • Processo Claro e Estabelecido • Arquitetura Segura
• Controle de Demandas e Bugs • Revisão de Design e
• Testes e Gestão de Build Arquitetura
• Conscientização • Revisão de Código
• Capacitação • Testes de Segurança
• Requerimentos • Fortalecimento do ambiente
• Modelagem de Ameaças de produção
• Gestão de Vulnerabilidades
• Gestão de Mudanças
Melhores alternativas
9. • Software Assurance Maturity Model (SAMM) é um framework aberto que auxilia
organizações a implementar e formular uma estratégia para segurança em softwares.
Os recursos providos pelo SAMM são:
• Avaliar as práticas de segurança em softwares existentes na organização
• Construir um modelo confiável de segurança em software com interações bem definidas
• Demonstrar melhorias concretas de um programa confiável de segurança
• Definir e mensurar atividades relacionadas à segurança em toda a organização
OpenSAMM
10. • Comprehensive, Lightweight Application Security
Process
• Fornece uma abordagem bem organizada e estruturada
para lidar com as questões relacionadas a segurança nos
estágios iniciais dos ciclos de vida de desenvolvimento de
software.
CLASP
11. Visão Conceitual
Visão Baseada em Funções
Avaliação de Atividade
Custos de Implementação
Aplicabilidade
Risco de inação
Implementação
24 “Security Activities”
Glossário de Vulnerabilidades
Consequências, problemas,
períodos de exposição, revogação
e técnicas de mitigação
Recursos Adicionais
Organização do CLASP