Este artigo apresenta um estudo sobre o assunto segurança no desenvolvimento de software. Para isso, os seguintes tópicos serão abordados: conceitos de segurança, importância de se desenvolver um software seguro, norma de segurança ISO/IEC 15408 para o desenvolvimento de software e, por fim, auditoria de software.
Em que situação o tema útil:
O entendimento deste assunto é importante para aqueles que trabalham com desenvolvimento de software e, em particular, para aqueles que trabalham no sentido de aprimorar iniciativas de segurança da informação.
Resumo DevMan:
A segurança da informação tem como objetivo a proteção da informação para reduzir a probabilidade e o impacto de incidentes de segurança. Para saber se o sistema é seguro, na década de 80 surgiu o primeiro padrão para avaliação de segurança em softwares que ficou conhecido como Orange Book. Mais tarde este padrão foi homologado pela International Standartization Organization (ISO) como ISO/IEC 15408. Neste contexto, este artigo apresenta um estudo sobre o assunto segurança no desenvolvimento de software.
O desenvolvimento de sistemas é uma das áreas mais afetadas pelos aspectos da segurança. Muitos dos problemas de segurança existentes hoje não são, nem físicos e nem de procedimento, mas sim, devidos a erros de programação ou de arquitetura. Muitas vezes, para não “perder” muito tempo e entregar a solução o quanto antes para o cliente, os requisitos de segurança são deixados de lado. Os clientes por sua vez não possuem noção sobre segurança de um sistema e só saberão mais tarde quando é encontrada uma vulnerabilidade. Isso acontece porque poucos analistas preocupam-se em especificar bem os requisitos de segurança.
A segurança em sistemas sempre foi importante e com a internet a segurança torna-se o foco, uma vez que os sistemas tendem a ficar mais interconectados, facilitando acessos indevidos. Dessa forma, temos que a segurança será cada vez mais uma preocupação no desenvolvimento de sistemas.
Tem-se como premissa que nenhum software é seguro [19]. A segurança de um software é afetada porque ele pode executar outros procedimentos os quais não foram propostos. Se ele fizesse exatamente o que foi destinado a fazer, a segurança não seria uma preocupação [10]. Portanto, existe uma facilidade para invasores investigarem vulnerabilidades desconhecidas e dificuldade dos desenvolvedores em garantir que todos os pontos de entrada do sistema estejam protegidos.
Para saber se um sistema é seguro, na década de 80 surgiu o primeiro padrão para avaliação de segurança em softwares que ficou conhecido como Orange Book. Mais tarde este padrão foi homologado pela International Standartization Organization (ISO) como ISO/IEC 15408, que muitas vezes é chamada apenas de Common Criteria (CC). De acordo com Albuquerque e Ribeiro [1], a norma ISO/IEC 15408 é o melhor ponto de partida para o desenvolvimento de software seguro, pois ela descreve conceitos necessários para a segurança em sistemas.
A ISO/IEC 15408 determina que um sistema deva ter seu Security Target (ST) (objetivo ou alvo de segurança) definido para ser considerado seguro. "O ST é a especificação de segurança, ou seja, indica quais aspectos de segurança foram considerados importantes e porque o foram para aquele sistema em particular".
Neste contexto, este artigo apresenta um estudo sobre o assunto segurança no desenvolvimento de software. Para isso, a partir de agora apresentaremos os conceitos de segurança. Em seguida abordaremos a importância de se desenvolver um software seguro. Posteriormente apresentaremos a norma de segurança ISO/IEC 15408 para o desenvolvimento de software. E, por fim, descreveremos os conceitos de uma auditoria de software.
Segurança da informação
A segurança da informação tem como objetivo a proteção da informação para reduzir a probabilidade e o impacto de incidentes de segurança. Segundo Lyra [17], um incidente de segurança ocorre quando um evento pode causar interrupções nos processos de negócio em decorrência da violação de alguma propriedade de segurança. Neste contexto, temos as três propriedades básicas da segurança:
...
