[Owasp-brazilian] Segurança em Desenvolvimento é custo?

Rafael_Dreher at Dell.com Rafael_Dreher at Dell.com
Tue Jan 11 10:52:12 EST 2011


É bem nessa mesmo.... É muita gente usando segurança como bode expiatório pra justificar atrasos em projetos.

> -----Original Message-----
> From: owasp-brazilian-bounces at lists.owasp.org [mailto:owasp-brazilian-
> bounces at lists.owasp.org] On Behalf Of Wagner Elias
> Sent: Tuesday, January 11, 2011 1:51 PM
> To: Willian Caprino
> Cc: cisspBR at yahoogroups.com; owasp-brazilian at lists.owasp.org
> Subject: Re: [Owasp-brazilian] Segurança em Desenvolvimento é custo?
> 
> Billy,
> 
> você tocou em um ponto interessante.
> 
> Quem disse que aumenta o tempo de desenvolvimento?
> 
> Hoje aumenta porque as empresas desenvolvem e depois mandam para
> alguém testar. Se durante o desenvolvimento fosse tratado a segurança isto
> não aconteceria.
> 
> Segurança não é nada que um bom desenvolvimento já não deveria fazer:
> revisão de código; teste; requisitos.
> 
> O problema é que as empresas só tem parte do processo de
> desenvolvimento, que é o famoso: Alguém pede algo e o programador
> desenvolve o que entendeu daquilo.
> 
> Por isto eu digo, se você não tem um processo de desenvolvimento
> claramente definido, nem software você entrega, como quer entregar
> software seguro.
> 
> Para dificultar este cenário, muitas vezes temos profissionais de segurança
> que não conhecem o processo de desenvolvimento e acabam apenas focando
> em testes, pois é mais factível para ele. Alguém testa e mandam um pdf para a
> equipe de desenvolvimento pedindo para resolver. Ai sim, é mais tempo e
> mais custo.
> 
> Abs.
> 
> Em 11 de janeiro de 2011 13:40, Willian Caprino <wcaprino at gmail.com>
> escreveu:
> > my 2 cents. Visao filosófica do que enxergo como "mundo real" (que
> > geralmente é muito diferente do "mundo ideal").
> >
> > Sim, é custo uma vez que no mínimo aumenta o tempo de desenvolvimento.
> >
> > Por ser um custo, a empresa desenvolvedora pode decidir assumir o
> > risco de não se preocupar com segurança e caso algum problema ocorra
> > no futuro, arcar com os "prejuizos" ou por a culpa em alguma outra
> > coisa (infraestrutura, operação, vulnerabilidade nova, etc).
> >
> > Cabe a quem vende segurança provar que o "mundo ideal" é melhor
> > (leia-se menos custoso) do que o "mundo real".
> >
> > A velha discussão do ROI em segurança.
> >
> >
> > []'s
> > Willian O. Caprino
> > @wcaprino @stsproducoes @ystscon @istspodcast
> >
> >
> >
> >
> > 2011/1/11 Wagner Elias <wagner.elias at gmail.com>:
> >> Post falando que a visão do Touchpoints falha separando AppSec de Dev
> >> e deixando entender que segurança é custo.
> >>
> >> http://manicode.blogspot.com/2011/01/touchpoints-and-bsimm-hurt-
> appse
> >> c.html
> >>
> >> Eu concordo com parte dos argumentos. Segurança deve ser tratado como
> >> parte do desenvolvimento e não como "acessório". E segurança não é
> >> custo, pois uma falha pode gerar prejuízos maiores e ao longo do
> >> tempo se tratarmos segurança como parte do processo de
> >> desenvolvimento o custo vai sendo absorvido e não passa a ser mais um
> adendo.
> >>
> >>
> >> O que acham?
> >>
> >> Abs.
> >> --
> >> Wagner Elias - OWASP Chapter Leader São Paulo
> >> ------------------------------------------------------------------
> >> Twitter: www.twitter.com/welias
> >> Blog: http://wagnerelias.com
> >> Profile: http://www.linkedin.com/in/wagnerelias
> >> _______________________________________________
> >> Owasp-brazilian mailing list
> >> Owasp-brazilian at lists.owasp.org
> >> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
> >>
> >
> 
> 
> 
> --
> Wagner Elias - OWASP Chapter Leader São Paulo
> ------------------------------------------------------------------
> Twitter: www.twitter.com/welias
> Blog: http://wagnerelias.com
> Profile: http://www.linkedin.com/in/wagnerelias
> _______________________________________________
> Owasp-brazilian mailing list
> Owasp-brazilian at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazilian


More information about the Owasp-brazilian mailing list