[Owasp-brazilian] Segurança em Desenvolvimento é custo?

Wagner Elias wagner.elias at gmail.com
Tue Jan 11 11:07:56 EST 2011


Billy,

em linha. ;-)

2011/1/11 Willian Caprino <wcaprino at gmail.com>

    2011/1/11 Wagner Elias <wagner.elias at gmail.com>:
    >
    > Quem disse que aumenta o tempo de desenvolvimento?
    >

    Bem, é uma percepção minha. Mas posso estar enganado.


Wagner: Não só sua, infelizmente até desenvolvedor pensa assim muitas vezes.


    > Hoje aumenta porque as empresas desenvolvem e depois mandam para
    > alguém testar. Se durante o desenvolvimento fosse tratado a segurança
    > isto não aconteceria.
    > Segurança não é nada que um bom desenvolvimento já não deveria fazer:
    > revisão de código; teste; requisitos.

    Então, mas um "desenvolvimento standard", pode não ter nada disso e
    mesmo assim entregar o produto. O "bom desenvolvimento" inclui, como
    voce cita, revisão de código, teste, requsitos, etc. Isso não aumenta
    o tempo ?


Wagner: Aumenta se pensarmos que fazer errado é mais rápido e fazer
certo é mais demorado. Mas precisamos lembrar que o mais rápido gera
mais manutenção e o custo aumenta da mesma maneira ou pior.


    > Por isto eu digo, se você não tem um processo de desenvolvimento
    > claramente definido, nem software você entrega, como quer entregar
    > software seguro.

    Sim... o que chamei de "mundo real".

    > Para dificultar este cenário, muitas vezes temos profissionais de
    > segurança que não conhecem o processo de desenvolvimento e acabam
    > apenas focando em testes, pois é mais factível para ele. Alguém testa
    > e mandam um pdf para a equipe de desenvolvimento pedindo para
    > resolver. Ai sim, é mais tempo e mais custo.

    É uma extensão do "mundo real". Talvez até pior, por que está se
    tratando um problema da maneira errada.


Wagner: Por este motivo que só paga quem é obrigado por alguma
regulamentação, cobrança interna. Raramente se faz por buscar o
melhor, mas sim por atender a alguém. Triste realidade ;-)


More information about the Owasp-brazilian mailing list