[Owasp-brazilian] Segurança em Desenvolvimento é custo?

Fabricio Braz fabricio.braz at gmail.com
Tue Jan 11 11:42:42 EST 2011


Olá Pesso at l,

Seguem minhas impressões do que foi colocado até agora:

1 - Sobre a utilidade do BSIMM - suporte para institucionalizar um programa
de segurança de software. Apesar de ser muito voltado para verificação,
existem atividades de engenharia, além do destaque especial treinamento,
inclusive dos gestores, para que tenham consciência do risco que estão
assumindo. Lembrando que no Brasil:

CÓDIGO CIVIL: Art.932- São também responsáveis pela reparação civil:
III–o empregador ou comitente, por seus empregados, serviçais e prepostos,
no exercício do trabalho que lhes  competir, ou em razão dele; (responde
objetivamente pelos danos causados, independentemente de culpa)

Novo Código Civil - 2002

Art.1011. O administrador da sociedade deverá ter, no exercício de suas
funções, o cuidado e a diligencia que todo homem ativo e probo costuma
empregar na administração de seus próprios negócios;

Art.1016. Os administradores respondem solidariamente perante a sociedade e
os terceiros prejudicados, por culpa no desempenho de suas funções.
Fonte: ApresentaçãoPatriciaPeck

Não acredito que o BSIMM resolva, nem que ele se proponha resolver, o
problema da segurança de software na sua gênese, que na minha opinião está
na conscientização do desenvolvedor sobre segurança, antes mesmo dele
conhecer seu primeiro comando de programação. Não acredito que modelo algum
consiga em si equacionar essa questão.

2 - Sobre a aplicabilidade do BSIMM - quem observar a dimensão das
organizações analisadas para o seu desenvolvimento reconhecerá facilmente
que ele não se mostra adequado a qualquer "euquipe". O fato de metade das 30
empresas ter mais do que 3000 e que a menor tenha 40 devs é muito revelador.
Apesar disso, não se pode negar que o modelo forneça insights para ações de
seg. no desenv., assim como centenas de sites, blogs, especs. Nessa função
ele é apenas + 1.

Qtde Devs
Menor: 40 | Média: 5061 | Mediana: 3000 | Maior: 30.000
Fonte: BSIMM2

3 - Sobre o custo - considerando que a segurança dentre os requisitos
não-funcionais tem sido pouco privilegiada ao longo da história da eng. de
software, isso faz com que até os ciclos de desenvolvimento de mais alta
qualidade tenham dificuldades nesse quesito, aumentando a duração do ciclo.
Além do fato da necessidade de RH raro ($$$) no mercado, para que consiga
alavancar a segurança de software. Se considerarmos um ambiente ideal, no
qual requisitos funcionais e não funcionais são desenvolvidos com perfeição,
não teríamos aumento de custo.

A discussão me remeteu a outra reflexão:

Qual seria o custo de implantar um programa de segurança de software sem um
modelo como BSIMM/OpenSAMM?

Abraço,

Fabricio Braz, PhD
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-brazilian/attachments/20110111/41ca107c/attachment.html 


More information about the Owasp-brazilian mailing list