Share to:

 

Ciclo de Vida do Desenvolvimento Seguro

Ciclo de Vida do Desenvolvimento Seguro, ou SDL (do inglês Security Development Lifecycle), é um processo que consiste na inserção de várias atividades e produtos relacionados a segurança na fase de desenvolvimento de software, como modelagem de ameaças, análise estática do código com uso de ferramentas, revisão de código, testes de segurança direcionados e uma revisão final de segurança, minimizando o surgimento de vulnerabilidades.[1][2][3]

Foi proposto e utilizado inicialmente pela Microsoft em janeiro de 2004 para reduzir os custos de manutenção de software e aumentar a confiabilidade do software no que se relaciona a bugs de segurança. Baseia-se no clássico modelo em espiral.[1] Atualmente o processo está na versão 5.2, de 23 de maio de 2012.[4]

Visão geral

O SDL faz uso de um conjunto de princípios de alto nível conhecido como SD3+C:[1]

  • Seguro por Projeto (Design): a arquitetura, o projeto e a implementação do software devem ser executados de forma a protegê-lo e proteger as informações que ele processa, além de resistir a ataques.
  • Seguro por Padrão (Default): visto que na prática é impossível obter uma segurança perfeita os projetistas devem considerar a possibilidade de haver falhas de segurança.
  • Seguro na Implantação (Deployment): o software deve conter ferramentas e orientação que ajudem os usuários finais e/ou administradores a usá-lo com segurança, assim como a implantação das atualizações deve ser fácil.
  • Comunicações: os desenvolvedores de software devem estar preparados para a descoberta de vulnerabilidades do produto e devem comunicar-se de maneira aberta e responsável com os usuários finais e/ou com os administradores para ajudá-los a tomar medidas de proteção (como instalar patches ou implantar soluções alternativas).

Todos os elementos do SD3+C impõem requisitos no processo de desenvolvimento, mas os dois primeiros elementos, seguro por design e seguro por padrão, fornecem as maiores vantagens de segurança. Seguro por design determina os processos que têm por objetivo impedir a introdução de vulnerabilidades em primeiro lugar, enquanto seguro por padrão requer que a exposição padrão do software, sua superfície de ataque, seja minimizada.

Fases

Há um total de 7 fases para a implementação do SDL:[5]

Formação

Essa fase é um pré-requisito para a implementação do SDL e visa a formação de um núcleo de treinamento e atualização. É realizada uma atualização sobre os princípios básicos de segurança e tendências recentes de segurança e privacidade, assim como treinamento de conceitos fundamentais para a construção de um software melhor. Entre estes conceitos estão incluídos projeto seguro, modelagem de ameaças, codificação segura, testes de segurança e melhores práticas para privacidade.

É ainda nessa fase que é definida a freqüência mínima de treinamento e o limiar mínimo aceitável para grupos de treinamento.

Requisitos 

Nessa fase definem-se portões de qualidade e analisa os riscos de segurança e privacidade. O time de desenvolvimento identifica requerimentos de segurança e privacidade,

Projeto

Nessa fase é feita a modelagem de ameaças e a análise de superfície de ataque (ou vulnerabilidade). A modelagem de ameaças consiste no levantamento de contra-medidas de segurança que resolvem as ameaças ao software. A análise de superfície de ataque consiste em fazer um levantamento de formas de acesso do aplicativo ou componente.

Implementação

Nessa fase são especificadas ferramentas de segurança, listas de verificação, reforçadas funções proibidas e realizada a análise estática, assim como são adotadas as melhores práticas de codificação segura para ajudar a implementar um projeto seguro.

Verificação

Nessa fase são realizados testes dinâmicos de difusão (fuzz) e verificados os modelos de ameaças e a superfície de ataque. Os testes de difusão consistem em tomar dados válidos, metamorfoseá-los e depois observar um aplicativo que empregue esses dados, verificando se aplicação se comporta adequadamente ou apresenta algum tipo de falha de segurança. Em sua forma mais simples, pode-se criar uma biblioteca de arquivos válidos que o aplicativo utilize e depois usar uma ferramenta para corromper sistematicamente um arquivo e fazer o aplicativo executá-lo ou processá-lo no verificador de aplicativos com verificação de heap habilitada para ajudar a descobrir mais erros.

Lançamento

Nessa fase é definido o plano de resposta, a revisão de segurança final (FSR) e a liberação de arquivo. A FSR é executada pela equipe de segurança central com ajuda da equipe de produto, mas não apenas pela equipe de produto. No final do processo FSR, as descobertas são anotadas e é tomada uma decisão sobre o lançamento do software ou o retrabalho de seções.

Resposta

Nessa fase é realizada a execução de resposta, que consiste de duas partes principais:

  • responder a defeitos de segurança e trabalhar com pessoas que descobrem problemas de segurança no código.
  • aprender com os erros, através da análise e documentação da causa dos defeitos.

Referências

  1. a b c «O ciclo de vida do desenvolvimento da segurança de computação confiável». msdn.microsoft.com. Consultado em 22 de setembro de 2016 
  2. «Uma análise do ciclo de vida do desenvolvimento da segurança na Microsoft: Por Michael Howard». www.microsoft.com. Consultado em 22 de setembro de 2016 
  3. Barbosa, Eber Donizeti; Reinaldo de Oliveira (13 de fevereiro de 2016). «Desenvolvimento de Software Seguro: Conhecendo e Prevenindo Ataques Sql Injection e Cross-site Scripting(XSS)». Revista T.I.S. 4 (1). ISSN 2316-2872 
  4. «Microsoft Security Development Lifecycle». www.microsoft.com. Consultado em 22 de setembro de 2016 
  5. «Microsoft Security Development Lifecycle (SDL)». Techsurface. Consultado em 22 de setembro de 2016 

Bibliografia

  • HOWARD, Michael; LIPNER, Steve.The security development lifecycle: SDL, a process for developing demonstrably more secure software (em inglês) Microsoft Press [S.l.] ISBN 0735622140.
  • ELIAS, Wagner; CABRAL, Carlos (org.); CAPRINO, Willian (org.). Trilhas em Segurança da Informação: Caminhos e ideias para a proteção de dados. Brasport [S.l.] 2015-01-08. ISBN 9788574526867.
Ícone de esboço Este artigo sobre informática é um esboço. Você pode ajudar a Wikipédia expandindo-o.

Information related to Ciclo de Vida do Desenvolvimento Seguro

Ciclo
Ciclo de Krebs
Ciclo solar
Ciclo feniano
Ciclo do nitrogênio
Ciclo biogeoquímico
Ciclo da ureia
Ciclo do Ulster
Ciclo de Otto
Ciclo do oxigênio
Ciclo hidrológico
Ciclo econômico
Ciclo das Secas
Ciclo do enxofre
Ciclo do açúcar
Ciclo CNO
Ciclo de vida
Ciclo metónico
Ciclo PDCA
Ciclo do gado
Ciclo épico
Ciclo menstrual
Ciclo de refrigeração
Ciclo celular
Ciclo lisogênico
Ciclo da borracha
Ciclo do cacau
Ciclo mitológico irlandês
Ciclo gerador de gás
Ciclo do glioxilato
Ciclo solar 19
Ciclo de vida do produto (marketing)
Ciclo do ouro
Ciclo do supercontinente
Ciclo básico
Ciclo (teoria de grafos)
Ciclo de Calvin
Ciclo ozônio-oxigênio
Teoria austríaca do ciclo económico
Ciclo cardíaco
Ciclo Rankine
Ciclo Brayton
Ciclo Miller
Ciclo do algodão
Ciclo Atkinson
Teoria do ciclo de vida
Ciclo de maturidade da franquia
Ciclo do Pseudo-Boron
Ciclo termodinâmico
Grafo ciclo
Ciclo do combustível nuclear
Ciclo Higroscópico
Ciclo Ericsson
Ciclo calíptico
Lista de jogadores da MLB que rebateram pelo ciclo
Ciclo do pau-brasil
Ciclo da caça ao índio
Ensino básico em Portugal
Ciclo Stirling
Ciclo expansor
Avaliação do ciclo de vida
Ciclo de micção
Ciclo Arturiano
Ciclo vital dos documentos
Ciclo do carbono
Ciclo diurno
Rebater pelo ciclo
Análise do ciclo de vida energético
Terapia pós-ciclo
Ciclo catalítico
Ciclo lítico
Ciclo das rochas
Ciclo de Cori
Ciclo histórico
Ciclo Lenoir
Ciclo óxido de cério(IV)-óxido de cério(III)
Ciclo de instrução
Ciclo de tanque pressurizado
Ciclo de combustão em estágios
Ciclo Kalina
Ciclo-hexilamina
Ciclo de Carnot
Ciclo de abuso
Ciclo estral
Ciclo da violência
Ciclo do fósforo no oceano
Ciclo Transcrítico
Ciclo de trabalho
Ciclo solar 25
Bicicleta de Krebs
Ciclo Vuilleumier
Ciclo operacional
Ciclo de vida dos sistemas
Lancelote-Graal
Ciclo Kleemenko
Ciclo do café
Círculo de quintas
Ciclo Scuderi
Ciclo de vida (desambiguação)
Ciclo parassexual
Motor de Ciclo Dividido
Ciclo solar 2
Ciclo literário
Ciclo solar 24
Ciclo de Gestão Federal
Ciclo dos Criadores de Gado
Ciclo de Born-Haber
Ciclo da glicose-alanina
Ritmo circadiano
Ciclo hidrológico em Portugal
Ciclo solar nos calendários
Ciclo produtivo
Variação orbital
Ciclo do ouro (Rodolfo Amoedo)
Cicloexanona
Ciclo (álbum)
Ciclo Siemens
Ciclo de Wilson
Ciclo de Cataguases
Análise de custo de ciclo de vida
Escola Básica dos 2.º e 3.º Ciclos D. Luís de Ataíde
Selvagem Ciclo de Estudos
Ciclo de vida de uma tecnologia
Polícia de ciclo completo
Círculo vicioso
Ciclo dos mestres
Caminho hamiltoniano
Transtorno do ciclo vigília-sono
Ciclo glutamato-glutamina
Ciclo da laranja
Anovulação
Ciclo Hampson-Linde
Ciclos por instrução
Instidoc - Ciclo do Documentário Institucional
Nikolai Kondratiev
Ciclo da pobreza
Ciclo do carbono em Portugal
Ciclo de Dungey
Ciclo de vida de desenvolvimento de sistemas
Fosforibosilformilglicinamidina ciclo-ligase
Efeitos da mudança climática no ciclo hidrológico
Resfriamento regenerativo
Ciclo do carbono nos oceanos
Ciclo do azoto nos aquários
Ondas de Kondratiev
Gerenciamento de ciclo de vida de produto
America's Next Top Model, Ciclo 2
Cinema de Pernambuco
Ciclo de vida do filo Apicomplexa
The Broken Circle Breakdown
Quadra Natalícia
Cicloexanol
Ciclo Arte Brasileira Contemporânea do Instituto Estadual de Artes Visuais
Algoritmo busca-ciclos de Floyd
Ciclo da Herança
Cogeração
Motor Stoddard
Ciclo do mercúrio
Ciclo pictórico de André Reinoso
America's Next Top Model, Ciclo 3
Katun
Cicloexano
Ciclos
America's Next Top Model, Ciclo 1
Cidadão Instigado
Ciclo do café no estado do Rio de Janeiro
Ciclo de Vida do Desenvolvimento Seguro
Ciclo de Avalon
Ciclos de Formação Humana
EnCicla
Ciclo de vida de liberação de software
Antese
Orogênese Brasiliana
Teoria dos ciclos reais de negócios
America's Next Top Model, Ciclo 4
Ciclos de reposição da parede do olho
Produção de soja no Brasil
Cadeia próton-próton
Der Ring des Nibelungen
Ciclo do Brasil na Copa do Mundo FIFA 2026
7th Time Loop
Ciclo do salitre
Hertz
Levonorgestrel/etinilestradiol
Ciclo-riquixá
Motor a diesel
Phaeophyceae
Brazil's Next Top Model 2
Retroalimentação
Ciclo-heptano
Fósforo
Ciclo-oxigenase
Erva-mate
Sinapse (ciclo celular)
Ciclo de vida viral
William Morris Davis
Cálcio
Plasmódio
Cloreto de cicloexila
Círculo unitário
Ciclocross
Lunação
Ciclopentanoperidrofenantreno
Associação dos Ciclousuários da Grande Florianópolis
Index: pl ar de en es fr it arz nl ja pt ceb sv uk vi war zh ru af ast az bg zh-min-nan bn be ca cs cy da et el eo eu fa gl ko hi hr id he ka la lv lt hu mk ms min no nn ce uz kk ro simple sk sl sr sh fi ta tt th tg azb tr ur zh-yue hy my ace als am an hyw ban bjn map-bms ba be-tarask bcl bpy bar bs br cv nv eml hif fo fy ga gd gu hak ha hsb io ig ilo ia ie os is jv kn ht ku ckb ky mrj lb lij li lmo mai mg ml zh-classical mr xmf mzn cdo mn nap new ne frr oc mhr or as pa pnb ps pms nds crh qu sa sah sco sq scn si sd szl su sw tl shn te bug vec vo wa wuu yi yo diq bat-smg zu lad kbd ang smn ab roa-rup frp arc gn av ay bh bi bo bxr cbk-zam co za dag ary se pdc dv dsb myv ext fur gv gag inh ki glk gan guw xal haw rw kbp pam csb kw km kv koi kg gom ks gcr lo lbe ltg lez nia ln jbo lg mt mi tw mwl mdf mnw nqo fj nah na nds-nl nrm nov om pi pag pap pfl pcd krc kaa ksh rm rue sm sat sc trv stq nso sn cu so srn kab roa-tara tet tpi to chr tum tk tyv udm ug vep fiu-vro vls wo xh zea ty ak bm ch ny ee ff got iu ik kl mad cr pih ami pwn pnt dz rmy rn sg st tn ss ti din chy ts kcg ve
Prefix: a b c d e f g h i j k l m n o p q r s t u v w x y z 0 1 2 3 4 5 6 7 8 9

Portal di Ensiklopedia Dunia

Portal : Agama
Agama
Portal : Bahasa
Bahasa
Portal : Biografi
Biografi
Portal : Budaya
Budaya
Portal : Ekonomi
Ekonomi
Portal : Elektronika
Elektronika
Portal : Film
Film
Portal : Filsafat
Filsafat
Portal : Geografi
Geografi
Portal : Indonesia
Indonesia
Portal : Ilmu
Ilmu
Portal : Lingkungan
Lingkungan
Portal : Masyarakat
Masyarakat
Portal : Matematika
Matematika
Portal : Militer
Militer
Portal : Mitologi
Mitologi
Portal : Musik
Musik
Portal : Olahraga
Olahraga
Portal : Pendidikan
Pendidikan
Portal : Politik
Politik
Portal : Sastra
Sastra
Portal : Sejarah
Sejarah
Portal : Seni
Seni
Portal : Teknologi
Teknologi
Kembali kehalaman sebelumnya