Proposta de framework conceitual para a detecção de vulnerabilidades durante o desenvolvimento de programação
Resumo
Vulnerabilidades de segurança em software representam ameaças sérias, com riscos financeiros e de reputação. Avaliar a segurança geralmente ocorre tardiamente no Ciclo de Vida de Desenvolvimento de Software (SDLC), acarretando custos e atrasos. Este estudo propõe um framework que estrutura a construção de uma ferramenta que visa antecipar a validação de segurança na fase de implementação do SDLC, promovendo código seguro desde o início. Objetivos incluem análise de vulnerabilidades, soluções e regras para ferramentas de análise de código. O estudo preenche uma lacuna, fornecendo orientações para aprimorar a segurança no desenvolvimento de software.
Palavras-chave:
vulnerabilidade, framework, desenvolvimento, SDLC
Referências
Amazon Web Services, "O que é o SDLC (Ciclo de Vida de Desenvolvimento de Software)?" [link], 2023, acesso em: 29/10/2023.
J. Rodrigues, K. Cordovil, O. O. Junior, and R. Torres, "Investigação das práticas proativas de desenvolvimento de software seguro adotadas por pequenos times de desenvolvimento," in Anais do XLVIII Seminário Integrado de Software e Hardware. Porto Alegre, RS, Brasil: SBC, 2021, pp. 241–250. [Online]. Available: [link]
L. C. M. C. Santos, E. P. V. Prado, and M. L. Chaim, "Técnicas e ferramentas para detecção de vulnerabilidades em ambientes de desenvolvimento ágil de software," Brazilian Journal of Development, vol. 6, no. 6, pp. 53 577–53 594, 2020.
D. de Oliveira Gatto, "Arquitetura integrada de normas e frameworks de desenvolvimento de software seguro aplicada para apoiar a identificação de falhas na especificação de requisitos," Tese de Doutorado, Universidade Nove de Julho (UNINOVE), 2024.
C. Anley, The Shellcoder’s Handbook: Discovering and Exploiting Security Holes, 2nd ed. Wiley Publishing, Inc., 2007.
A. Sotirov, "Automatic vulnerability detection using static source code analysis," Master’s thesis, University of Alabama, 2005, acesso em: 29/10/2023.
B. Chess and G. McGraw, "Static analysis for security," IEEE Security & Privacy, vol. 2, no. 6, pp. 76–79, 2004, acesso em: 29/10/2023.
Amazon Web Services, "O que é DevSecOps?" [link], 2023, acesso em: 27/11/2023.
OWASP, "OWASP Top Ten – 2021. The Ten Most Critical Web Application Security Risks," [link], 2021, acesso em: 29/10/2023.
A. Carvalho, "Segurança de aplicações web e os dez anos do relatório OWASP Top Ten: O que mudou?" [link], 2014, acesso em: 27/11/2023.
T. Basso, "Uma abordagem para avaliação da eficácia de scanners de vulnerabilidades em aplicações web," Master’s thesis, Dissertação e Apresentação de Mestrado, 2010, acesso em: 29/10/2023.
IBM, "O que é o NIST Cybersecurity Framework?" [link], 2023, acesso em: 29/10/2023.
Microsoft Corporation, "Language Extensions Overview," [link], 2023, acesso em: 29/10/2023.
Microsoft, "Python Extension Template," [link], 2022, acesso em: 29/10/2023.
——, "Language Server Extension Guide," [link], 2023, acesso em: 29/10/2023.
F. Sandrini, "Análise de vulnerabilidades de segurança computacional com a implementação do desenvolvimento," Monografia de Graduação em Ciência da Computação, São Paulo, 2019.
J. Rodrigues, K. Cordovil, O. O. Junior, and R. Torres, "Investigação das práticas proativas de desenvolvimento de software seguro adotadas por pequenos times de desenvolvimento," in Anais do XLVIII Seminário Integrado de Software e Hardware. Porto Alegre, RS, Brasil: SBC, 2021, pp. 241–250. [Online]. Available: [link]
L. C. M. C. Santos, E. P. V. Prado, and M. L. Chaim, "Técnicas e ferramentas para detecção de vulnerabilidades em ambientes de desenvolvimento ágil de software," Brazilian Journal of Development, vol. 6, no. 6, pp. 53 577–53 594, 2020.
D. de Oliveira Gatto, "Arquitetura integrada de normas e frameworks de desenvolvimento de software seguro aplicada para apoiar a identificação de falhas na especificação de requisitos," Tese de Doutorado, Universidade Nove de Julho (UNINOVE), 2024.
C. Anley, The Shellcoder’s Handbook: Discovering and Exploiting Security Holes, 2nd ed. Wiley Publishing, Inc., 2007.
A. Sotirov, "Automatic vulnerability detection using static source code analysis," Master’s thesis, University of Alabama, 2005, acesso em: 29/10/2023.
B. Chess and G. McGraw, "Static analysis for security," IEEE Security & Privacy, vol. 2, no. 6, pp. 76–79, 2004, acesso em: 29/10/2023.
Amazon Web Services, "O que é DevSecOps?" [link], 2023, acesso em: 27/11/2023.
OWASP, "OWASP Top Ten – 2021. The Ten Most Critical Web Application Security Risks," [link], 2021, acesso em: 29/10/2023.
A. Carvalho, "Segurança de aplicações web e os dez anos do relatório OWASP Top Ten: O que mudou?" [link], 2014, acesso em: 27/11/2023.
T. Basso, "Uma abordagem para avaliação da eficácia de scanners de vulnerabilidades em aplicações web," Master’s thesis, Dissertação e Apresentação de Mestrado, 2010, acesso em: 29/10/2023.
IBM, "O que é o NIST Cybersecurity Framework?" [link], 2023, acesso em: 29/10/2023.
Microsoft Corporation, "Language Extensions Overview," [link], 2023, acesso em: 29/10/2023.
Microsoft, "Python Extension Template," [link], 2022, acesso em: 29/10/2023.
——, "Language Server Extension Guide," [link], 2023, acesso em: 29/10/2023.
F. Sandrini, "Análise de vulnerabilidades de segurança computacional com a implementação do desenvolvimento," Monografia de Graduação em Ciência da Computação, São Paulo, 2019.
Publicado
27/11/2024
Como Citar
ZYAHANA, Felipe Kenji; CUSTÓDIO, Anna Beatriz Santos; KNIHS, Everton; LOPES, Fabio Silva; SILVEIRA, Ismar Frango.
Proposta de framework conceitual para a detecção de vulnerabilidades durante o desenvolvimento de programação. In: CONGRESSO LATINO-AMERICANO DE SOFTWARE LIVRE E TECNOLOGIAS ABERTAS (LATINOWARE), 21. , 2024, Foz do Iguaçu/PR.
Anais [...].
Porto Alegre: Sociedade Brasileira de Computação,
2024
.
p. 229-238.
DOI: https://doi.org/10.5753/latinoware.2024.245739.