Proposta de framework conceitual para a detecção de vulnerabilidades durante o desenvolvimento de programação

Felipe Kenji Zyahana; Anna Beatriz Santos Custódio; Everton   Knihs; Fabio Silva Lopes; Ismar Frango Silveira

doi:10.5753/latinoware.2024.245739

Felipe Kenji Zyahana Mackenzie https://orcid.org/0009-0001-0900-6594
Anna Beatriz Santos Custódio Mackenzie https://orcid.org/0009-0003-7015-8911
Everton Knihs Mackenzie https://orcid.org/0000-0003-3109-8066
Fabio Silva Lopes Mackenzie https://orcid.org/0000-0001-8274-7682
Ismar Frango Silveira Mackenzie https://orcid.org/0000-0001-8029-072X

DOI: https://doi.org/10.5753/latinoware.2024.245739

Resumo

Vulnerabilidades de segurança em software representam ameaças sérias, com riscos financeiros e de reputação. Avaliar a segurança geralmente ocorre tardiamente no Ciclo de Vida de Desenvolvimento de Software (SDLC), acarretando custos e atrasos. Este estudo propõe um framework que estrutura a construção de uma ferramenta que visa antecipar a validação de segurança na fase de implementação do SDLC, promovendo código seguro desde o início. Objetivos incluem análise de vulnerabilidades, soluções e regras para ferramentas de análise de código. O estudo preenche uma lacuna, fornecendo orientações para aprimorar a segurança no desenvolvimento de software.

Palavras-chave: vulnerabilidade, framework, desenvolvimento, SDLC

Referências

Amazon Web Services, "O que é o SDLC (Ciclo de Vida de Desenvolvimento de Software)?" [link], 2023, acesso em: 29/10/2023.

J. Rodrigues, K. Cordovil, O. O. Junior, and R. Torres, "Investigação das práticas proativas de desenvolvimento de software seguro adotadas por pequenos times de desenvolvimento," in Anais do XLVIII Seminário Integrado de Software e Hardware. Porto Alegre, RS, Brasil: SBC, 2021, pp. 241–250. [Online]. Available: [link]

L. C. M. C. Santos, E. P. V. Prado, and M. L. Chaim, "Técnicas e ferramentas para detecção de vulnerabilidades em ambientes de desenvolvimento ágil de software," Brazilian Journal of Development, vol. 6, no. 6, pp. 53 577–53 594, 2020.

D. de Oliveira Gatto, "Arquitetura integrada de normas e frameworks de desenvolvimento de software seguro aplicada para apoiar a identificação de falhas na especificação de requisitos," Tese de Doutorado, Universidade Nove de Julho (UNINOVE), 2024.

C. Anley, The Shellcoder’s Handbook: Discovering and Exploiting Security Holes, 2nd ed. Wiley Publishing, Inc., 2007.

A. Sotirov, "Automatic vulnerability detection using static source code analysis," Master’s thesis, University of Alabama, 2005, acesso em: 29/10/2023.

B. Chess and G. McGraw, "Static analysis for security," IEEE Security & Privacy, vol. 2, no. 6, pp. 76–79, 2004, acesso em: 29/10/2023.

Amazon Web Services, "O que é DevSecOps?" [link], 2023, acesso em: 27/11/2023.

OWASP, "OWASP Top Ten – 2021. The Ten Most Critical Web Application Security Risks," [link], 2021, acesso em: 29/10/2023.

A. Carvalho, "Segurança de aplicações web e os dez anos do relatório OWASP Top Ten: O que mudou?" [link], 2014, acesso em: 27/11/2023.

T. Basso, "Uma abordagem para avaliação da eficácia de scanners de vulnerabilidades em aplicações web," Master’s thesis, Dissertação e Apresentação de Mestrado, 2010, acesso em: 29/10/2023.

IBM, "O que é o NIST Cybersecurity Framework?" [link], 2023, acesso em: 29/10/2023.

Microsoft Corporation, "Language Extensions Overview," [link], 2023, acesso em: 29/10/2023.

Microsoft, "Python Extension Template," [link], 2022, acesso em: 29/10/2023.

——, "Language Server Extension Guide," [link], 2023, acesso em: 29/10/2023.

F. Sandrini, "Análise de vulnerabilidades de segurança computacional com a implementação do desenvolvimento," Monografia de Graduação em Ciência da Computação, São Paulo, 2019.