[Owasp-brazilian] Segurança em Desenvolvimento é custo?

Wagner Elias wagner.elias at gmail.com
Wed Jan 12 06:27:56 EST 2011


Fabricio,

argumentos em linha.

Em 11 de janeiro de 2011 14:42, Fabricio Braz
<fabricio.braz at gmail.com> escreveu:
> Olá Pesso at l,
>
> Seguem minhas impressões do que foi colocado até agora:
>
> 1 - Sobre a utilidade do BSIMM - suporte para institucionalizar um programa
> de segurança de software. Apesar de ser muito voltado para verificação,
> existem atividades de engenharia, além do destaque especial treinamento,
> inclusive dos gestores, para que tenham consciência do risco que estão
> assumindo. Lembrando que no Brasil:
>
> CÓDIGO CIVIL: Art.932- São também responsáveis pela reparação civil:
> III–o empregador ou comitente, por seus empregados, serviçais e prepostos,
> no exercício do trabalho que lhes  competir, ou em razão dele; (responde
> objetivamente pelos danos causados, independentemente de culpa)
>
> Novo Código Civil - 2002
>
> Art.1011. O administrador da sociedade deverá ter, no exercício de suas
> funções, o cuidado e a diligencia que todo homem ativo e probo costuma
> empregar na administração de seus próprios negócios;
>
> Art.1016. Os administradores respondem solidariamente perante a sociedade e
> os terceiros prejudicados, por culpa no desempenho de suas funções.
> Fonte: ApresentaçãoPatriciaPeck
>
> Não acredito que o BSIMM resolva, nem que ele se proponha resolver, o
> problema da segurança de software na sua gênese, que na minha opinião está
> na conscientização do desenvolvedor sobre segurança, antes mesmo dele
> conhecer seu primeiro comando de programação. Não acredito que modelo algum
> consiga em si equacionar essa questão.

Wagner: Concordo com você que existe coisas interessantes no BSIMM. Só
o fato dele consolidar uma série de análises em empresas que "fazem a
coisa certa" já uma boa métrica. Mas como conversamos, deve ser
aplicado o que melhor se adequa a organização e isto nunca vai estar
em modelo só.
>
> 2 - Sobre a aplicabilidade do BSIMM - quem observar a dimensão das
> organizações analisadas para o seu desenvolvimento reconhecerá facilmente
> que ele não se mostra adequado a qualquer "euquipe". O fato de metade das 30
> empresas ter mais do que 3000 e que a menor tenha 40 devs é muito revelador.
> Apesar disso, não se pode negar que o modelo forneça insights para ações de
> seg. no desenv., assim como centenas de sites, blogs, especs. Nessa função
> ele é apenas + 1.
>
> Qtde Devs
> Menor: 40 | Média: 5061 | Mediana: 3000 | Maior: 30.000
> Fonte: BSIMM2

Wagner: Acho que isto não é o problema do BSIMM. Hoje quaquer
organização média/grande que tenha uma aplicação que suporte a sua
atuação core tem uma equipe com mais de 30 desenvolvedores, vejo isto
todos os dias. A "euquipe" não funciona com nenhum processo. Por mais
que ele execute todos os papéis e responsabilidades de um processo não
ficará bom. Vocês lembram do Citizen Programmer do Official Guide. ;-)
>
> 3 - Sobre o custo - considerando que a segurança dentre os requisitos
> não-funcionais tem sido pouco privilegiada ao longo da história da eng. de
> software, isso faz com que até os ciclos de desenvolvimento de mais alta
> qualidade tenham dificuldades nesse quesito, aumentando a duração do ciclo.
> Além do fato da necessidade de RH raro ($$$) no mercado, para que consiga
> alavancar a segurança de software. Se considerarmos um ambiente ideal, no
> qual requisitos funcionais e não funcionais são desenvolvidos com perfeição,
> não teríamos aumento de custo.

Wagner: Pelo que vejo na discussão estamos creditando o custo de ter
um processo de desenvolvimento de qualidade na conta de segurança e
isto é um erro. Sobre o custo do profissional, um bom profissional de
desenvolvimento é tão "caro" quanto um bom profissional de segurança.
Caro entre aspas, pois caro é o que não se justifica e um bom
profissional sempre vai trazer um retorno.
>
> A discussão me remeteu a outra reflexão:
>
> Qual seria o custo de implantar um programa de segurança de software sem um
> modelo como BSIMM/OpenSAMM?

Wagner: Não entendi este ponto. O que ele fez foi consolidar as
atividades que foram utilizadas em empresas que possuem segurança em
desenvolvimento, mas não trouxe nada novo. Respondendo a pergunta:
IMHO o custo seria o mesmo. ;-)
>
> Abraço,
>
> Fabricio Braz, PhD
>



-- 
Wagner Elias - OWASP Chapter Leader São Paulo
------------------------------------------------------------------
Twitter: www.twitter.com/welias
Blog: http://wagnerelias.com
Profile: http://www.linkedin.com/in/wagnerelias


More information about the Owasp-brazilian mailing list