Este artigo apresenta um estudo sobre o assunto segurança no desenvolvimento de software. Para isso, os seguintes tópicos serão abordados: conceitos de segurança, importância de se desenvolver um software seguro, norma de segurança ISO/IEC 15408 para o desenvolvimento de software e, por fim, auditoria de software.
Em que situação o tema útil:
O entendimento deste assunto é importante para aqueles que trabalham com desenvolvimento de software e, em particular, para aqueles que trabalham no sentido de aprimorar iniciativas de segurança da informação.
Resumo DevMan:
A segurança da informação tem como objetivo a proteção da informação para reduzir a probabilidade e o impacto de incidentes de segurança. Para saber se o sistema é seguro, na década de 80 surgiu o primeiro padrão para avaliação de segurança em softwares que ficou conhecido como Orange Book. Mais tarde este padrão foi homologado pela International Standartization Organization (ISO) como ISO/IEC 15408. Neste contexto, este artigo apresenta um estudo sobre o assunto segurança no desenvolvimento de software.
O desenvolvimento de sistemas é uma das áreas mais afetadas pelos aspectos da segurança. Muitos dos problemas de segurança existentes hoje não são, nem físicos e nem de procedimento, mas sim, devidos a erros de programação ou de arquitetura. Muitas vezes, para não “perder” muito tempo e entregar a solução o quanto antes para o cliente, os requisitos de segurança são deixados de lado. Os clientes por sua vez não possuem noção sobre segurança de um sistema e só saberão mais tarde quando é encontrada uma vulnerabilidade. Isso acontece porque poucos analistas preocupam-se em especificar bem os requisitos de segurança.
A segurança em sistemas sempre foi importante e com a internet a segurança torna-se o foco, uma vez que os sistemas tendem a ficar mais interconectados, facilitando acessos indevidos. Dessa forma, temos que a segurança será cada vez mais uma preocupação no desenvolvimento de sistemas.
Tem-se como premissa que nenhum software é seguro [19]. A segurança de um software é afetada porque ele pode executar outros procedimentos os quais não foram propostos. Se ele fizesse exatamente o que foi destinado a fazer, a segurança não seria uma preocupação [10]. Portanto, existe uma facilidade para invasores investigarem vulnerabilidades desconhecidas e dificuldade dos desenvolvedores em garantir que todos os pontos de entrada do sistema estejam protegidos.
Para saber se um sistema é seguro, na década de 80 surgiu o primeiro padrão para avaliação de segurança em softwares que ficou conhecido como Orange Book. Mais tarde este padrão foi homologado pela International Standartization Organization (ISO) como ISO/IEC 15408, que muitas vezes é chamada apenas de Common Criteria (CC). De acordo com Albuquerque e Ribeiro [1], a norma ISO/IEC 15408 é o melhor ponto de partida para o desenvolvimento de software seguro, pois ela descreve conceitos necessários para a segurança em sistemas.
A ISO/IEC 15408 determina que um sistema deva ter seu Security Target (ST) (objetivo ou alvo de segurança) definido para ser considerado seguro. "O ST é a especificação de segurança, ou seja, indica quais aspectos de segurança foram considerados importantes e porque o foram para aquele sistema em particular".
Neste contexto, este artigo apresenta um estudo sobre o assunto segurança no desenvolvimento de software. Para isso, a partir de agora apresentaremos os conceitos de segurança. Em seguida abordaremos a importância de se desenvolver um software seguro. Posteriormente apresentaremos a norma de segurança ISO/IEC 15408 para o desenvolvimento de software. E, por fim, descreveremos os conceitos de uma auditoria de software. " [...] continue lendo...
