Open in app

Sign in

Write

Sign in

Segurança no processo de desenvolvimento de software

Giuliano Jordão
6 min readOct 29, 2020

--

Falar de segurança em ambientes computacionais é sempre uma tarefa complicada e deve tomar em conta múltiplos fatores. Dentre eles estão cliente e suas necessidades, o público-alvo e sua necessidade de constantes atualizações e seu time de desenvolvimento frente as cobranças por entregas constantes e de curto prazo.

A segurança dos dados é indispensável no momento atual.

Mesmo para os aplicativos mais simples sempre temos que ter em mente a necessidade de métodos de desenvolvimento focados em segurança. Tenha em mente que a preocupação com a segurança dos dados apenas agrega valor e confiabilidade ao seu software em meio ao mercado.

Em meio a um oceano de troca de informações com uso da Internet ou diretamente entre aparelhos que já são parte da vida de todos os usuários de smartphones e demais IOT a segurança se mostra como o maior diferencial entre todos os produtores de software e soluções computacionais.

Neste artigo trataremos sobre algumas práticas para aqueles que estão buscando desenvolver soluções mais seguras e também para aqueles que desejam garantir que seu time possa desenvolver produtos confiáveis.

Vamos lá.

Criando soluções otimizadas

Não existe ponto mais importante para quem atua no desenvolvimento de softwares que a integridade e a segurança da informação. Desde a elaboração do escopo de seu projeto, passando por todas as fases de seu desenvolvimento, até a sua disponibilização para o público alvo, as práticas de segurança têm um papel fundamental ao garantir que seu usuário tenha em mãos uma ferramenta em que pode confiar.

Dentre os principais métodos para o desenvolvimento de softwares seguros se destacam:

Transferência e guarda seguros

Podemos adotar como base as práticas utilizadas no PCI-DSS aumentando a confiabilidade nos processos de troca de informações. A confidencialidade da comunicação deve ser feita com uso de métodos de criptografia atualizados.

Para aqueles que não estão familiarizados com o termo PCI-DSS, Payment Card Industry Data Security Standard, literalmente traduzido como padrão de segurança de dados do setor de cartões de pagamento, traz um conjunto de regras e padrões de segurança da informação para organizações que lidam com cartões de crédito adotado pela maior parte das empresas do setor. Foram criadas para aumentar a segurança em torno dos dados dos titulares destes cartões evitando e reduzindo fraudes no sistema de cartões. Foi implantado e adotado globalmente em dezembro de 2004 em sua versão 1.0.

O aumento da integridade e autenticidade dos dados deve ser efetuada com rotinas de verificação de dados em pacotes. Assim, quer no armazenamento, processamento ou intercâmbio de arquivos e dados, emissor e receptor estarão cientes que o meio de comunicação que está sendo usado é 100% seguro. Evitando-se assim a captura e roubo destas informações.

Ambiente de desenvolvimento

Uma softwarehouse ou fábrica de software não deve focar apenas na busca por mais segurança digital. Seu ambiente físico também deve estar protegido. Acesso aos setores de desenvolvimento deve ser limitado e controlado. E ainda, os servidores ou unidades de armazenamento de códigos-fonte devem estar devidamente isolados evitando acesso a pessoal não autorizado.

Métodos e práticas seguras

O desenvolvedor é um “artista” e em sua criação sempre adota métodos de desenvolvimento preferenciais. Não importando se sua equipe atua com metodologias ágeis, tradicionais ou híbridas, seus componentes devem estar adaptados e se valer de práticas mais seguras. Ou seja, sempre que houver a necessidade de verificação de um código-fonte, o analista ou engenheiro de software deve buscar por eventuais e possíveis falhas e vulnerabilidades que venham a comprometer a segurança do usuário no ambiente digital.

Atenção também aos tamanhos dos “buffers” e “arrays” usados por seu software, para que não ofereçam impacto na experiência do usuário. Grandes volumes de dados sendo trafegados podem ser uma excelente porta de entrada para coleta de dados e sempre atraem os olhos de invasores. Caso apareçam códigos de erro ou alertas em um momento de geração do produto executável tenha em foco o rastreio e a resolução deste problema.

Revisão constante de código

Prevenir ainda é o melhor dos remédios mesmo para o ambiente digital. Manter atividades de prevenção focadas na tentativa de obtenção ilícita de dados ou informações deve ser um dogma dentro de sua equipe. Estas práticas irão balizar o processo de desenvolvimento durante os testes e revisões de código. E ainda, sempre inclua os ataques mais tradicionais em suas rotinas de teste, pois não existe essa história de “fora de moda” quando tratamos de segurança de dados.

Avaliação por KPI

KPI, Key Performance Indicator também usado como KSI, Key Success Indicator, são ferramentas para gestão que permitem aferir o nível de desempenho e sucesso de um profissional ou de uma equipe em determinado processo. O foco está no “como” e permitem saber o quão eficiente estão estes profissionais (ou processos) propiciando alcançar seu objetivos.

Ao usar KPI/KSI para avaliar seu time de desenvolvedores na realidade são uma via de mão dupla já que oferecem um retorno para o seu profissional de como está sua evolução ao adquirir novos conhecimentos e técnicas de trabalho. Já para o gestor ou arquiteto é uma métrica de fácil utilização para saber como está o desempenho de sua equipe e de cada um de seus componentes.

Se mirarmos na segurança digital temos os KPI/KSIs como base para atribuição de padrões de segurança ao projeto. Desta forma, as equipes podem atuar focados em pesquisar novas técnicas e meios de segurança para o desenvolvimento de software frente as ameaças já conhecidas e comuns neste oceano digital, tais como injeções de parâmetros, SQL Injections, vírus, code blocks, dentre outros.

SDL

Adotar o SDL, Security Development Lifecicle, simplesmente ciclo de desenvolvimento seguro, um conjunto de processos adotado por grandes empresas como a Microsoft fazendo uso de produtos e atividades com foco na criação de sistemas mais seguros. Se valendo da integração de medidas e verificação de processos de sua organização este método busca auxiliar empresas na criação de soluções seguras.

O SDL se subdivide em sete etapas distintas:

  • Treinamento: todos os membros das equipes recebem treinamento para que todos possuam conhecimento dos princípios e novas abordagens de segurança e privacidade disponíveis;
  • Requisitos: validar os requisitos necessários com foco na segurança da informação e privacidade do utilizador como um todo. Associado a esta prática se mantém um conjunto de tarefas para mapeamento e rastreamento de falhas e brechas de segurança permitindo uma rápida solução de problemas e até mesmo a prevenção de novas falhas;
  • Design: Serve como meio de conhecimento para detecção de uma “superfície de ataque” produzindo modelos com as principais ameaças existentes no software;
  • Verificação: o já famoso plano de testes, que envolve code review e inspeção da documentação. Pode se valer de ferramentas autônomas ou até mesmo equipes terceirizadas;
  • Lançamento: o ponto alto do processo de desenvolvimento deve estar respaldado pela montagem e preparação de uma equipe de suporte disponível para atendimento e solução de eventuais problemas que possam surgir. Importante é ter montada e preparada uma equipe voltada para os problemas mais graves envolvendo segurança da informação esta se encarregará e se responsabilizará pela rápida minimização de danos;
  • Resposta: etapa na qual todo e qualquer “bug” ou falha que tenha sido encontrada após a distribuição do software para seu público alvo sejam rastreados e solucionados, bem como, a publicação de atualizações deve ser aqui preparada e efetivada;
  • Confiabilidade: manter a confiabilidade de um software consiste em manter-se atento as seis etapas anteriores e sempre manter seu ambiente e solução sempre estáveis e disponíveis.

Soluções confiáveis

Existem várias formas de se medir a qualidade de um software. Confiança, estabilidade, disponibilidade, baixo número de falhas e constante processo de atualização são algumas das muitas características que permitem laurear seu produto.

A segurança da informação, hoje, pode ser encarada como um novo divisor de águas e pode ser esse o seu trunfo na obtenção de sucesso com seu software.

Ataques cibernéticos são cada vez mais frequentes nesta que apelidamos de era da informação. E este cenário impulsiona o desenvolvedor, de forma obrigatória, a oferecer sempre soluções cada vez mais seguras para seus clientes.

Em nosso país, Brasil, considerado internacionalmente como um dos ambientes digitais mais vulneráveis do mundo, nos vemos obrigados a redobrar estas medidas de segurança e verificação dos dados, sendo este, sim, um dos processos mais importantes.

Sendo assim, ao criar seu software prime para que ele seja confiável pois assim ele, ao manter a integridade e segurança da informação, o bem importante neste universo digital, será considerado um produto de imenso valor para seus usuários.

Gerenciar equipes focando na busca dos processos de segurança no desenvolvimento de software mais seguros deve ser uma das mais importantes rotinas de sua empresa.

Ainda não se vale dessas práticas? Sem problemas, agora que já sabe um pouco mais é hora de por em prática e se possível compartilhe comigo suas experiências e dúvidas.

Bom código.

Segurança Da Informação
Desenvolvimento Software
Arquitectura De Software
Engenharia De Software
Segurança Digital

--

--

Giuliano Jordão
Giuliano Jordão

Written by Giuliano Jordão

4 Followers
12 Following

C-level executive. Systems analyst, senior full stack developer, consultant, master’s degree in parallel computing and data science and computer graphics.

No responses yet

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams