[Owasp-brazilian] [cisspBR] Re: Segurança em Desenvolvimento é custo?

Wagner Elias wagner.elias at gmail.com
Wed Jan 12 06:34:19 EST 2011


Anderson,

em linha.

Em 11 de janeiro de 2011 15:10, Anderson Ramos <aramos at f-scp.com> escreveu:

>
>
> Wagner,
>
> Na prática, fazer a transição do que é a média de mercado para um processo
> definido acaba custando mais, pelo menos no curto prazo, ainda que a
> segurança desapareça dentro do ciclo, como é o caso que o VP mencionou de
> quem trabalha com Agile por exemplo.
>
> Creio que é aí que reside o problema de camada 9 (financeira 8-), o custo
> hoje realmente não vem de colocar segurança, e sim de transformar o
> processo
> de desenvolvimento em algo minimamente civilizado.
>
Wagner: Exatamente. As empresas não estão desenvolvendo software de
qualidade e segurança tem que pagar a conta? Se a responsabilidade é de
segurança, vamos ajustar os orçamentos. Eu vejo áreas de desenvolvimento com
orçamento para realizar uma série de coisas e a empresa não quer gastar nada
com segurança.

>
> Agora, falando sobre quem já tem um ciclo maduro, sobre segurança
> desaparecer dentro do ciclo, tenho minhas dúvidas se na prática seria assim
> mesmo. De repente pra uma pequena equipe de Agile pareça irrisório, mas
> quando você vai pra um departamento com dezenas / centenas de
> programadores,
> acho difícil argumentar que ciclo bem implementado sem segurança vs. com
> segurança seja exatamente a mesma coisa.
>
Wagner: Por mais contraditório que pareça, em uma equipe maior que o custo
acaba "sumindo" ao longo do tempo. Ao longo do tempo, pois no início será
necessário investir em capacitação e recursos para implementar e executar o
processo.

>
> Só um processo de revisão periódica de código pronto pra pegar ataques que
> eram desconhecidos quando o código de produção foi feito já aumenta de
> forma
> significativa a quantidade de tempo / recursos que precisam ser destinados,
> não acha?
>
Wagner: Times de desenvolvimento já realizam revisão de código; pentest
basta capacitar as pessoas para olhar além do code style e questões de
performance.

>
> Abraço,
>
> Anderson Ramos
> CISSP, ISSAP/MP, SSCP, CISA
> FLIPSIDE Smart Content Provider
> http://f-scp.com.br/blog
> @aramosorg
>
>
> 2011/1/11 Wagner Elias <wagner.elias at gmail.com <wagner.elias%40gmail.com>>
>
> >
> >
> > Quem disse que aumenta o tempo de desenvolvimento?
> >
> > Hoje aumenta porque as empresas desenvolvem e depois mandam para
> > alguém testar. Se durante o desenvolvimento fosse tratado a segurança
> > isto não aconteceria.
> >
> >
>
> [Non-text portions of this message have been removed]
>
>  __._,_.___
>   Reply to sender<aramos at f-scp.com?subject=Re%3A%20%5BcisspBR%5D%20Re%3A%20%5BOwasp-brazilian%5D%20Seguran%E7a%20em%20Desenvolvimento%20%E9%20custo%3F>| Reply
> to group<cisspBR at yahoogroups.com?subject=Re%3A%20%5BcisspBR%5D%20Re%3A%20%5BOwasp-brazilian%5D%20Seguran%E7a%20em%20Desenvolvimento%20%E9%20custo%3F>| Reply
> via web post<http://groups.yahoo.com/group/cisspBR/post;_ylc=X3oDMTJyOGg0ZmlwBF9TAzk3MzU5NzE0BGdycElkAzExMDQ5NjcyBGdycHNwSWQDMTcwNTAwNzE0MARtc2dJZAMyOTgxOARzZWMDZnRyBHNsawNycGx5BHN0aW1lAzEyOTQ3NjU4NTI-?act=reply&messageNum=29818>| Start
> a New Topic<http://groups.yahoo.com/group/cisspBR/post;_ylc=X3oDMTJmbDMzaDQ3BF9TAzk3MzU5NzE0BGdycElkAzExMDQ5NjcyBGdycHNwSWQDMTcwNTAwNzE0MARzZWMDZnRyBHNsawNudHBjBHN0aW1lAzEyOTQ3NjU4NTI->
> Messages in this topic<http://groups.yahoo.com/group/cisspBR/message/29798;_ylc=X3oDMTM3Z2Fka3RxBF9TAzk3MzU5NzE0BGdycElkAzExMDQ5NjcyBGdycHNwSWQDMTcwNTAwNzE0MARtc2dJZAMyOTgxOARzZWMDZnRyBHNsawN2dHBjBHN0aW1lAzEyOTQ3NjU4NTIEdHBjSWQDMjk3OTg->(
> 9)
>  Recent Activity:
>
>
>  Visit Your Group<http://groups.yahoo.com/group/cisspBR;_ylc=X3oDMTJmbHNqaGo1BF9TAzk3MzU5NzE0BGdycElkAzExMDQ5NjcyBGdycHNwSWQDMTcwNTAwNzE0MARzZWMDdnRsBHNsawN2Z2hwBHN0aW1lAzEyOTQ3NjU4NTI->
>  LISTA PARCEIRA
> SecurityGuys. Sua lista de empregos na área de Segurança da Informação.
> http://lists.securityguys.com.br/
>  [image: Yahoo! Groups]<http://groups.yahoo.com/;_ylc=X3oDMTJlNXR2dGo0BF9TAzk3MzU5NzE0BGdycElkAzExMDQ5NjcyBGdycHNwSWQDMTcwNTAwNzE0MARzZWMDZnRyBHNsawNnZnAEc3RpbWUDMTI5NDc2NTg1Mg-->
> Switch to: Text-Only<cisspBR-traditional at yahoogroups.com?subject=Change+Delivery+Format:+Traditional>,
> Daily Digest<cisspBR-digest at yahoogroups.com?subject=Email+Delivery:+Digest>•
> Unsubscribe <cisspBR-unsubscribe at yahoogroups.com?subject=Unsubscribe> • Terms
> of Use <http://docs.yahoo.com/info/terms/>
>    .
>
> __,_._,___
>



-- 
Wagner Elias - OWASP Chapter Leader São Paulo
------------------------------------------------------------------
Twitter: www.twitter.com/welias
Blog: http://wagnerelias.com
Profile: http://www.linkedin.com/in/wagnerelias
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-brazilian/attachments/20110112/3de1c97b/attachment.html 


More information about the Owasp-brazilian mailing list