[Owasp-brazilian] Segurança em Desenvolvimento é custo?

Wagner Elias wagner.elias at gmail.com
Tue Jan 11 10:50:30 EST 2011


Billy,

você tocou em um ponto interessante.

Quem disse que aumenta o tempo de desenvolvimento?

Hoje aumenta porque as empresas desenvolvem e depois mandam para
alguém testar. Se durante o desenvolvimento fosse tratado a segurança
isto não aconteceria.

Segurança não é nada que um bom desenvolvimento já não deveria fazer:
revisão de código; teste; requisitos.

O problema é que as empresas só tem parte do processo de
desenvolvimento, que é o famoso: Alguém pede algo e o programador
desenvolve o que entendeu daquilo.

Por isto eu digo, se você não tem um processo de desenvolvimento
claramente definido, nem software você entrega, como quer entregar
software seguro.

Para dificultar este cenário, muitas vezes temos profissionais de
segurança que não conhecem o processo de desenvolvimento e acabam
apenas focando em testes, pois é mais factível para ele. Alguém testa
e mandam um pdf para a equipe de desenvolvimento pedindo para
resolver. Ai sim, é mais tempo e mais custo.

Abs.

Em 11 de janeiro de 2011 13:40, Willian Caprino <wcaprino at gmail.com> escreveu:
> my 2 cents. Visao filosófica do que enxergo como "mundo real" (que
> geralmente é muito diferente do "mundo ideal").
>
> Sim, é custo uma vez que no mínimo aumenta o tempo de desenvolvimento.
>
> Por ser um custo, a empresa desenvolvedora pode decidir assumir o
> risco de não se preocupar com segurança e caso algum problema ocorra
> no futuro, arcar com os "prejuizos" ou por a culpa em alguma outra
> coisa (infraestrutura, operação, vulnerabilidade nova, etc).
>
> Cabe a quem vende segurança provar que o "mundo ideal" é melhor
> (leia-se menos custoso) do que o "mundo real".
>
> A velha discussão do ROI em segurança.
>
>
> []'s
> Willian O. Caprino
> @wcaprino @stsproducoes @ystscon @istspodcast
>
>
>
>
> 2011/1/11 Wagner Elias <wagner.elias at gmail.com>:
>> Post falando que a visão do Touchpoints falha separando AppSec de Dev
>> e deixando entender que segurança é custo.
>>
>> http://manicode.blogspot.com/2011/01/touchpoints-and-bsimm-hurt-appsec.html
>>
>> Eu concordo com parte dos argumentos. Segurança deve ser tratado como
>> parte do desenvolvimento e não como "acessório". E segurança não é
>> custo, pois uma falha pode gerar prejuízos maiores e ao longo do tempo
>> se tratarmos segurança como parte do processo de desenvolvimento o
>> custo vai sendo absorvido e não passa a ser mais um adendo.
>>
>>
>> O que acham?
>>
>> Abs.
>> --
>> Wagner Elias - OWASP Chapter Leader São Paulo
>> ------------------------------------------------------------------
>> Twitter: www.twitter.com/welias
>> Blog: http://wagnerelias.com
>> Profile: http://www.linkedin.com/in/wagnerelias
>> _______________________________________________
>> Owasp-brazilian mailing list
>> Owasp-brazilian at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>>
>



-- 
Wagner Elias - OWASP Chapter Leader São Paulo
------------------------------------------------------------------
Twitter: www.twitter.com/welias
Blog: http://wagnerelias.com
Profile: http://www.linkedin.com/in/wagnerelias


More information about the Owasp-brazilian mailing list