[Owasp-brazilian] Segurança na web - Uma janela de oportunidades

Eduardo V. C. Neves eduardo at camargoneves.com
Wed Apr 6 17:35:13 EDT 2011


Meus dois centavos,

Uma abordagem que pode ser pensada é desenvolver uma série de controles para que a empresa cumpra, e uma contra partida para gerar a evidência necessária de que isto foi feito. Com isso, é possível atender os dois lados, afinal quantos de nós já não vimos:

- Um software ser comprometido pela forma como foi implementado
- A arquitetura empregada destruir qualquer chance de segurança no software
- A administração do todo - incluindo aqui os famosos "faz agora que depois vemos"- criar um cenário de caos para a proteção do software

Porém, colocar isso em uma legislação me parece impossível e altamente sujeito a interpretação.

[]s

- Eduardo


On Apr 6, 2011, at 6:22 PM, Leonardo Buonsanti wrote:

> Eu não li o documento ainda. Lerei.
> 
> Comecei a ler o Secrets & Lies do Bruce "eu ñ vou pro appsec" Schneier hoje e logo no começo ele fala disso. Liability para softwares com problemas de segurança. Tem a ver?
> 
> Abs.
> 
> 2011/4/6 Thiago Zaninotti <thiago at zaninotti.net>
> To pegando o bonde andando mas vou meter o bedelho (aproveitando os 5 minutos do café): 
> 
> Nossa legislação é bastante arrojada no assunto mas, como todos sabem, o mecanismo do processo é bem moroso. Geralmente o defeito precisa ser comprovado por perícia técnica contratada pelas partes. É preciso comprovar o dolo. 
> 
> Em um caso hipotético, é preciso comprovar que uma cópia não controlada de um buffer de usuário para um buffer estático na aplicação foi feita de maneira intencional. Em muitos casos, o código-fonte está sob proteção supranacional e a comprovação fica tecnicamente inviável. 
> 
> O legislador teve uma pretensão nobre, contudo, no mundo real as coisas são um pouco diferentes (tecnica e economicamentes).
> 
> Thiago Zaninotti,Security+,CISSP-ISSAP,CISM,CSSLP
> Restless Infosec & C/C++ Engineer
> 
> 
> 
> 2011/4/6 Lucas Ferreira <lucas.ferreira at owasp.org>
> Zucco,
> 
> nenhum produto é perfeito. Por exemplo, se há defeito em um carro que
> comprometa sua segurança, o fabricante é responsável. Por que o
> fabricante de software não pode ser responsabilizado por falhas em seu
> produto?
> 
> Inté,
> 
> Lucas
> 
> 2011/4/6 Jeronimo Zucco <jczucco at gmail.com>:
> >   Sob esse ponto de vista, somente softwares perfeitos podem ser
> > escritos. Softwares são feitos por seres humanos, como garantir que
> > não exista um problema de segurança ? Definindo um baseline de
> > segurança mínimo ?
> >
> > --
> > Jeronimo Zucco
> > http://jczucco.blogspot.com
> >
> >
> > Em 6 de abril de 2011 15:01, Lucas Ferreira <lucas.ferreira at owasp.org> escreveu:
> >> Ambos, solidária e objetivamente.
> >>
> >> 2011/4/6 Fernando Cima (SCOE) <fcima at microsoft.com>:
> >>> Perfeito, então todos os desenvolvedores de software, independente do modelo de licença, seriam responsabilizados civilmente por defeitos de segurança.
> >>> Fica a questão sobre quem seria responsabilizado, o distribuidor do software ou o dono do copyright (i.e. autor).
> >>>
> >>>
> >>> -----Original Message-----
> >>> From: lucas.ferreira at gmail.com [mailto:lucas.ferreira at gmail.com] On Behalf Of Lucas Ferreira
> >>> Sent: Wednesday, April 06, 2011 2:37 PM
> >>> To: owasp-brazilian at lists.owasp.org; Owasp-brazilian-leaders at lists.owasp.org
> >>> Cc: Fernando Cima (SCOE)
> >>> Subject: Re: [Owasp-brazilian] Segurança na web - Uma janela de oportunidades
> >>>
> >>> Sobre a polêmica abaixo, conversei com um amigo advogado e a questão é
> >>> mais simples do que parece. Caso a legislação proíba as licenças de
> >>> software de isentar os fabricantes de responsabilidade com a segurança
> >>> de seus produtos, as cláusulas que afirmarem o contrário serão
> >>> consideradas ilegais, mas apenas elas.
> >>>
> >>> Ou seja, as licenças não seriam inválidas mas apenas as clausulas
> >>> específicas que forem contrárias à lei, eliminando a necessidade de
> >>> relicenciamento ou de mudança de licença.
> >>>
> >>> Inté,
> >>>
> >>> Lucas
> >>>
> >>>
> >>>
> >>> 2011/4/4 Fernando Cima (SCOE) <fcima at microsoft.com>:
> >>>>> > "Eliminar licenças de software que isentam os fabricantes da responsabilidade com a segurança de seus produtos"
> >>>>> > Você está ciente que isto inclui *todas* as licenças de software existentes hoje, correto?
> >>>>>
> >>>>> Sim
> >>>>
> >>>> Ok, então esteja ciente das consequências disto, em especial para os projetos colaborativos. Por exemplo, todas as licenças 'open source' contém uma cláusula que exclui qualquer responsabilidade dos autores por danos diretos, indiretos, incidentais, etc. Para se relicenciar o software é necessário que todos os titulares de copyright concordem com a mudança na licença. Em alguns projetos é exigido que o copyright de qualquer contribuição seja atribuído ao coordenador do projeto (prática adotada por exemplo pela Free Software Foundation), em outros isto não ocorre e podem existir até milhares de pessoas com copyright em partes do código, caso do Linux por exemplo. Sugerir uma mudança da licença nestes casos é algo virtualmente impossível.
> >>>>
> >>>
> >>>
> >>>
> >>>
> >>>
> >>> --
> >>> Homo sapiens non urinat in ventum.
> >>>
> >>>
> >>
> >>
> >>
> >> --
> >> Homo sapiens non urinat in ventum.
> >> _______________________________________________
> >> Owasp-brazilian mailing list
> >> Owasp-brazilian at lists.owasp.org
> >> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
> >>
> >
> 
> 
> 
> --
> Homo sapiens non urinat in ventum.
> _______________________________________________
> Owasp-brazilian mailing list
> Owasp-brazilian at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
> 
> 
> _______________________________________________
> Owasp-brazilian mailing list
> Owasp-brazilian at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
> 
> 
> 
> 
> -- 
> Leonardo Buonsanti
> _______________________________________________
> Owasp-brazilian mailing list
> Owasp-brazilian at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazilian

-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-brazilian/attachments/20110406/36e2a0a8/attachment.html 


More information about the Owasp-brazilian mailing list