O Sistersinspirit.ca está aqui para ajudá-lo a encontrar respostas para todas as suas dúvidas com a ajuda de especialistas. Explore respostas detalhadas para suas dúvidas de uma comunidade de especialistas em diferentes campos. Conecte-se com uma comunidade de especialistas prontos para ajudar você a encontrar soluções para suas perguntas de maneira rápida e precisa.
Sagot :
Resposta:
As atividades ou boas práticas de segurança de software descritas por McGraw usadas para eliminar ou minimizar as vulnerabilidades em desenvolvimento de softwares são:
• Casos de abuso: construir casos de abuso é relevante para realizar uma relação entre os problemas e a análise de risco. É importante observar neste momento se algum padrão de ataque se encaixa no sistema ou nos requisitos do software. Este é um bom momento para modelar cenários de vulnerabilidades que podem ser exploradas nas fases de revisão de código ou teste de penetração.
• Requisitos de segurança: estes precisam cobrir os requisitos funcionais e de segurança, casos de abuso e levantar a maior quantidade possível de dados e padrões de ataque. Nesta fase toda a necessidade de segurança do software precisa ser mapeada para garantir sua correta implementação. Um bom exemplo de requisito de segurança esta relacionado com o uso correto de criptografia para proteger dados críticos.
• Análise de risco arquitetural: complementa a análise de riscos orientada pela ISO 14971 (2007). Esta análise está relacionada com o levantamento dos riscos de segurança que podem estar presentes na arquitetura da aplicação que será construída e é uma pequena parte do processo de gerenciamento de risco que todo fabricante necessita aplicar para garantir aderência à referida norma, de acordo com (IEC 62304, 2006).
• Teste de segurança baseado em riscos: a estratégia de testes da aplicação precisa cobrir pelo menos dois tópicos principais, que são os testes dos requisitos de segurança com técnicas de teste para requisitos funcionais e testes de segurança baseados em riscos, levantados pelos casos de abuso e pela avaliação dos padrões de ataque.
• Revisão de código fonte: após a fase de codificação e antes da fase de testes, a análise de código fonte é uma boa atividade para garantir que os requisitos de segurança foram bem implementados e que as vulnerabilidades listadas na análise de casos de abuso não estão presentes no software. A revisão de código pode ser automática e manual e cada estratégia tem prós e contras. Ferramentas automatizadas não cobrem todos os cenários, por este motivo a análise manual é sempre necessária (LONG et al., 2012).
• Testes de penetração: este é um composto de técnicas e ferramentas utilizadas em conjunto para testar dinamicamente um software ou sistema contra falhas de projeto ou vulnerabilidades. Esta atividade é importante para garantir que a aplicação ou sua infraestrutura não possuam nenhum problema
potencial que possam ser explorados de uma forma particular para alterar o comportamento da aplicação em tempo de execução (MICROSOFT, 2008).
• Operação segura: é importante responsabilizar as atividades do usuário no momento da utilização do sistema de software. Ainda mais importante é manter estes dados de forma correta e protegida, para garantir que o atacante ou atividades de ataque possam ser rastreadas após qualquer tentativa, bem sucedida ou não.
Explicação:
Paginas 141, 142 do livro de SEGURANÇA E
AUDITORIA DE SISTEMAS
Obrigado por usar nossa plataforma. Estamos sempre aqui para fornecer respostas precisas e atualizadas para todas as suas perguntas. Obrigado por escolher nosso serviço. Estamos dedicados a fornecer as melhores respostas para todas as suas perguntas. Visite-nos novamente. Volte ao Sistersinspirit.ca para obter mais conhecimento e respostas dos nossos especialistas.