Princípios de segurança

Fase Requisitos

Considerar a segurança "de baixo para cima" é um princípio fundamental do

desenvolvimento de sistemas seguros. Embora vários projetos de desenvolvimento

produzam "próximas versões" baseadas nas versões anteriores, a fase de requisitos e

o planejamento inicial de uma nova versão oferecem a melhor oportunidade para criar

software seguro.

A perspectiva geral da equipe de produto sobre os objetivos, os desafios e os planos de

segurança deve se refletir nos documentos de planejamento produzidos durante a fase

de requisitos. Embora os planos estejam sujeitos a alterações conforme o andamento do

projeto, a articulação precoce desses planos ajuda a garantir que nenhum requisito seja

desconsiderado ou estabelecido na última hora.

Fase Projeto

Identificar técnicas de análise, como a organização em camadas, o uso de linguagem

com rigidez de tipos, a aplicação de privilégios mínimos e a minimização da superfície

de ataque, que se aplicam ao software globalmente. Documentar os elementos

da superfície de ataque do software, como o software não atingirá uma segurança

perfeita, é importante que apenas os recursos que serão usados pela grande maioria dos

usuários sejam expostos a todos eles por padrão, e que esses recursos sejam instalados

com o nível de privilégio mais baixo possível.

Fase Implementação

. Aplicar ferramentas de verificação de código de análise estática. As ferramentas

podem detectar alguns tipos de falhas de código que resultam em vulnerabilidades,

incluindo saturações do buffer, de números inteiros e variáveis não inicializadas. Uma

rede estável e um breve treinamento obrigatório para todos prováveis usuários do

software é essencial.

Fase Teste

Durante essa fase, enquanto o software passa por testes beta, a equipe de produto tem

que realizar um "esforço de segurança" que inclui revisões do código de segurança além

das