Nesta primeira “prelecção rápida” (10 a 15 minutos), o nosso líder de projeto François Martineau explica em poucos minutos…
00:14:20
Nesta primeira “prelecção rápida” (10 a 15 minutos), o nosso líder de projeto François Martineau explica em poucos minutos…
Oi [Música] e aí pessoal tudo bem faz tempo que a gente não lança conteúdos aqui no nosso canal do YouTube mas ele está de volta à carga lanchando aqui a Flash Plus e são aulas rápidas de 10 a 15 minutos conteúdos frio para você sobre segurança da informação e continuidade de negócios de serviços de ter meu nome é transformar de novo eu sou gerente de projeto da gosto do piscina sacada me e convido vocês para expandir o seu conhecimento vamos lá hoje a gente vai falar sobre boas práticas de desenvolvimento seguro e a ISO 27001 vamos lá ó para a gente falar desse tema a gente tem que começar falando do ciclo tradicional de desenvolvimento versus o ciclo de desenvolvimento seguro Então a gente vai mostrar uma figurinha aqui para vocês que representa esses dois tipos de desenvolvimento Ok sempre que o Chico de desenvolvimento tradicional esse círculo menor aqui que a gente destacou agora o que tem as fases tradicionais de desenvolvimento de sobra Começando aqui o especificação de requisitos que que eu quero ver o sistema interno de funcionamento desempenho né é que que eu quero Quais são os objetivos da aplicação que eu tô desenvolvendo né Qual é o número que tu vai usar essa aplicação e assim por diante Então as fase de especificação de requisitos mas faz o seguinte design é o desenho da arquitetura Geral do sistema aqui vou desenhar que linguagem de programação que eu quero usar Que tipo de banco de dados por usar como vai ser a ligação entre usuário e o sistema se eu vou hospedar o meu software e arquitetura um prévio some Cláudia cinco desenho Geral do sistema está aqui a gente passa para fazer o seguinte Kelly desenvolvimento onde vai ficar ocorrer qualificação para Net digita né transformar em linhas de código aquilo que foi conceitualmente pensado desenvolver minha aplicação eu vou para os testes que testes são esses é normalmente são feitos testes de funcionamento saber se aplicação atende ao requisito de funcionamento dela né Pode ser que a gente leva em que encontra-se requisito de segurança ou não se não tiver maior abordagem consciente de segurança é bem provável que eu deixo passar várias coisas melhor sorte e o Finn cumprido a fase de teste eu vou com o desenvolvimento para o desculpa por depoimentos para colocar o sócio de produção colocar o sócio de produção é colocar ele para rodar o acesso ao usuário bom legal mas se eu tô falando de software seguro eu tenho que acertar camadas aos meus título ao meu ciclo de desenvolvimento que é o seguir software development Life cycle Ok esse cerco Il software baixo sai com acrescenta camadas de segurança nas camadas tradicionais para gente já conhece eu vou fazer uma avaliação de riscos quando eu sou especificar requisitos em risco de segurança né bom se eu quero que o sistema até determinadas funcionalidades comportamentos quais funcionalidades comportamentos podem atrair riscos podem atrair vulnerabilidade falam sobre isso aqui é uma fase seguinte quando eu vou desenhar não é o sócio eu vou falar de modelagem de ameaça de design review ou seja em cima daquela cobertura que eu desenhei que ameaças a orar essa arquitetura frete modem não faz o seguinte eu vou acrescentar aqui a minha fase de desenvolvimento propriamente dita a análise estática EA co dificação Segura Eu vou olhar blocos de código para saber se eles atendem a princípio de seguinte vai design para isso vai usar na faz o seguinte de testes ela acrescenta a camada de seguir de teste e como viu Ou seja o que que eu tô fazendo aqui eu tô aplicando testes específicos de segurança para chegar software tente vulnerabilidades em todo esse circo a gente tá usando como referência que altamente recomendada ao as top ten ok pessoal o fim passei no teste de segurança lá no depósito eu tive uma segurar aqui é uma avaliação de segurança e uma configuração segura do ambiente onde este software vai rodar ou seja ou validar se o ambiente onde os hóspedes está rodando atende a requisitos de segurança e eu acrescento camadas Segurança ao circo tradicional de desenvolvimento Ok mas o que pede a ISO 27001 com relação à segurança de só a gente tem um grupo de controles vai lá 2720 aguá 14/2 que possuem Love controles focado especificamente desenvolvimento seguro primeiro neles fala de ter uma política de desenvolvimento seguro Quais são as diretrizes gerais da empresa com o desenvolvimento seguro que a gente quer assegurar o nosso software segundo controle procedimentos para controle de mudanças em Sistemas quando eu vou mudar o sistema eu preciso fazer isso de planejado chego não é o terceiro controle revisão técnica de aplicações após mudanças nas plataformas operacionais em outras palavras mudou o ambiente onde o sócio roda que pacto isso tem no meu sócio tem que fazer alguma correção ouvidoria né quarto controle restrições mudanças e pacote de software eu devo ir as mudanças ao mínimo necessário ficar mudando indiscriminadamente traz riscos para o software que você está desenvolvendo princípio de segurança engenharia de sistemas aqui a gente vai incorporar por exemplo o ácido top tem como referência para desenvolver software seguro né eu preciso garantir também que meio ambiente desenvolvimento seja Seguro ou seja o controle de acesso ao ambiente armazenamento seguro do código-fonte não colocar código forte armazenado por exemplo deste público restringir o acesso né política de mim elétrico o sétimo controle desenvolvimento terceirizado shiltem tem que garantir as mesmas regras de segurança que eu uso internamente testes de segurança de sistemas são 8º o controle eu tenho que fazer teste de segurança teste de vulnerabilidade para saber se o meu sócio apresenta alguma alguma vulnerabilidade que pode ser explorada com atacante externo e um finalmente da costura espaço testes de aceitação dos sistemas do ponto de vista de funcionalidade e do ponto de vista de segurança beleza mas não acabou não tá pessoal nós Ainda temos outros controles Associados a a deve que impactam deve mas que não são especificamente deve o primeiro deles é o controle de acesso ao código-fonte de programas o número muito restrito de pessoas deve ter acesso ao código-fonte está preferencialmente com princípios de Privilégio mínimo e que você não deixe Muitas pessoas têm acesso a todo o código fonte a cada um tem acesso ao pedaço do seu trabalho tá bom gestão de mudanças que embora tenham controle sobre isso lá no a 14 gestão de mudanças como um todo envolve não só a mudança do código-fonte Nossa mudança da aplicação mas a mudança associada ao ambiente dessa aplicação também tá bom a separação dos ambientes de desenvolvimento teste de produção só que é importantíssimo manter apartado dos ambientes de desenvolvimento Onde você está armazenando código-fonte desenvolvendo pode fonte do ambiente de você testa esse código fonte e ambos também separado o ambiente operacional ambiente de produção próximo controle análise e especificação de requisitos de segurança da informação pensando no ciclo de desenvolvimento Seguros lá no comecinho do circo especificação de requisitos é onde a gente aplica que esse controle cuidando de antecipar as questões de segurança é aqui que nasce o privacy by design e o seguinte vai design e por fim proteção dos dados de teste preferencialmente não devo usar dados de teste reais se possível usar dados de teste fictícios e caso eu devo usar dados reais e sejam dados extraídos de uma forma segura das bases de produção e depois descartados corretamente está com haja risco de acesso não autorizado e é isso pessoal a ISO 27001 está mudando talvez longe ainda esse ano tô toda essa estrutura de controle dela pode mudar quando ela mudar a gente vai trazer as novidades aqui para vocês tá bom mas como é que eu implemento tudo isso é a forma de implementar isso aí a gente dá algumas dicas primeiro capacitação desenvolvimento seguro capacity seu time faça cursos que Oriente o seu time de desenvolvimento a sua esteira de de volta seja lá como você chama aí dentro da sua empresa a fase de desenvolvimento seguro desde o início Ok então falar sobre o astral tem farol sobre vulnerabilidade de aplicações que estão na internet o que isso é importante segunda dica definir os requisitos de segurança lá no começo lá no começo do seu ciclo de desenvolvimento né olhando para vulnerabilidades que podem ser comumente touradas e e pratique a codificação segura o aspecto obtém para ir para isso pessoal eu te dar toda dica de Quais são as principais vulnerabilidades dos atacantes externos esporos para que você tem oportunidade de fazer uma Purificação que previna a exploração dessa vulnerabilidade praias e bairros a seguinte by design o teste de segurança de só ser feitos também com base na zona habilidades o as para que você consiga explorar se o seu código apresentando alguma naquelas governabilidade Stop tem por exemplo dados de teste ambiente de teste você tem que manter em ambiente apartado tanto do ambiente de desenvolvimento quando bandeja de produção então separação dos ambientes de teste produção e desenvolvimento Ok controle de acesso ao código-fonte já falei sobre isso poucas pessoas devem ter acesso ao código forte apenas o mínimo necessário para garantir aí que você não vai ter acesso não autorizado a esse tesouro que é o código-fonte da sua aplicação em algumas recomendações de soluções a gente tá falando aqui do Jequitibá design pra ver se vai design é melhor fonte para isso hoje é ao açúcar olation trago aqui para vocês então ao Acho que são deixa o que é de outra moeda application Security Project você já devem conhecer mas lembre é a melhor referência que a gente tem para desenvolvimento Seguro hoje ok volto aqui para gente continuar explorando o ASP top ten 2021 recentemente eu acho público a sua lista nova de vulnerabilidade está tudo aqui né Então vale a pena olhar para esse se você é desenvolvedor se você quer se capacitar em movimento seguro e tem um diferencial aí direto da equipe tá bom ainda temos mais novidades do arco como que eu vou usar o arco como um padrão para desenvolvimento seguro a própria eu acho que idade tem aqui uma página que diz como você deve fazer os casos de uso é olhando lá para o as top ten olhando para o padrão de verificação de segurança de aqui é com base na O Astro Tá você também vai ter aqui uma coisa muito legal que eu acho que tem que é o em Gold é uma aplicação que é o asco desenvolveu propositalmente Com erros dentro daqueles totem para que você como desenvolvedor trem a sua capacidade de bloquear essas ameaças só que é muito legal ainda eu indico para os nossos clientes e parceiros e para qualquer um ou serviço muito bacana aqui de uma empresa brasileira sediada em Curitiba que a conviso que fala de segurança em The ropes né para deves de deves para deves né então a com visão parceiro é que a gente indica de confiança que ajuda a sua empresa trazer para dentro da esteira de desempenho Lopes a segurança da aplicação legal dica boa isso aí não perco para gente resumir aqui as top 3 da USP velho primeira conjunto de vulnerabilidade quebra de controle de acesso isso aqui é fresquinho saiu 2021 a fotografia de um modo geral injeção direta de códigos aqui já bem conhecido desenvolvimento inseguro quando você não usa dentro da sua esteira de devolve de desenvolvimento seja lá como você chama aos princípios de segurança no desenvolvimento né é falhas em configurações de segurança de aplicação do ambiente da aplicação componentes vulneráveis obsoletos aqui também bastante comum a biblioteca antiga absoleta né para a identificação e autenticação e não usar MF a não usar um cheque de um duplo chefe de identidade na hora de você fazer o acesso né é falha de integridade de software idade as falhas em logs de segurança e de monitoramento Love Is Fire blogs 900 lojas em Seguros e a essa apareceu aqui emm2021avw Serra sai do regresso Ford são a lista das top terminar Ramires Fernanda detalhe solar o Assis porém vale a pena para a gente fechar aqui tem algumas referências publicamente disponíveis de política dos movimentos e glória Que bacana aqui ó política de desenvolvimento segundo da epimed Solutions Olha que interessante isso aqui eles publicam ela no site deles a política de desenvolvimento seguro deles então serve de referência se você quiser construir a sua tá bom tem outra aqui que a gente pode colocar a publicamente disponível também que é humano ao desenvolvimento segundo o TRT 4 a gente bacana isso aqui isso aqui é bem legal ó o manual de desenvolvimento seguro né do Tribunal Regional do Trabalho Olha que legal isso aqui bem completo bastante informação e publicamente disponível para vocês quem quiser receber o material desse vídeo pessoal ele tá salva em PDF basta mandar um e-mail para mim que eu respondo para você enviando esse arquivo tá bom aí você passa acompanhar também com a gente as novidades que a gente vai divulgada August dor conteúdos novos que a gente vai publicar abraço sucesso para vocês Muito obrigado E aí
Excelente "flash class"! Parabéns e obrigada por compartilhar a informação!