[Owasp-brazilian] [cisspBR] Re: Segurança em Desenvolvimento Ã(c) custo?

Wagner Elias wagner.elias at gmail.com
Wed Jan 12 06:43:05 EST 2011


Oi Alexandre,

em linha.

Em 11 de janeiro de 2011 18:28, alexbraga2004 <alexmbraga at terra.com.br>escreveu:

>
>
> Wagner,
>
> Agora os meus 2 centavos.
> Segurança custa, não devemos ser ingênuos.
>
Wagner: Qualquer coisa custa, mas neste caso o que custa é o processo de
desenvolvimento de software e não segurança.

>
> Qualquer processo organizado de construção de software tem papéis,
> atividades e entregáveis, todos distribuídos pelo ciclo de vida do
> desenvolvimento.
>
> Cada requisito (funcional ou não funcional) exige recursos humanos,
> financeiros e computacionais para sua realização. Tratar segurança no
> desenvolvimento também exigirá vários HH e outros recursos.
>
Wagner: Sem dúvida, estamos indo para outro rumo. É claro que qualquer papél
existe recursos e isto custa dinheiro. Agora é só analisar e verá que
qualquer atividade que deve ser executada para aumentar a segurança da
aplicação pode, aliás deve ser executada por papéis que já são definidos
para o time de desenvolvimento. Mais uma vez estamos querendo contabilizar o
custo de ter um bom processo de desenvolvimento de software na conta de
segurança.

>
> Não vale dizer que é só testar um pouco mais para segurança. Sendo
> idealista, seriam necessários papéis especializados em segurança nas várias
> fases do desenvolvimento. No muito (quase) real, pelo menos durante os
> requisitos, programação, testes e implantação :-)
>
Wagner: Discordo completamente que é necessário ter especialistas em
segurança para cada papel. Fazer seguro é fazer direito e os recurso de
desenvolvimento devem saber o que é segurança. É justamente isto que o post
do Manico critica e eu concordo, não podemos tratar segurança como mais um
time, mais equipes e sim como mais uma disciplina, capacidade que o
profissional de desenvolvimento deve ter.

>
> Ideologias a parte, lembro que segurança pode ser encarada como um aspecto
> da qualidade dos softwares. Assim como usabilidade, acessibilidade,
> escalabilidade, desempenho, etc. Neste sentido todos os Papas da qualidade
> concordam que é melhor e mais barato achar e corrigir problemas logo do
> início do ciclo de vida do desenvolvimento. Tratar incidentes em produção é
> muito pior e mais caro, como nós da área de segurança bem sabemos.
>
> O Desafio é fazer com que o investimento em segurança durante o
> desenvolvimento produza softwares mais resilientes e confiáveis em produção.
> Daí segurança no desenvolvimento vale o esforço.
>
Wagner: Exatamente, fazer software mais seguro, por mais que exija mais
recursos no começo, ao longo do tempo se paga e deixa dinheiro em caixa. ;-)


>
> Até,
>
> Alexandre M. Braga, MSc.,
> PMP, CISSP, CSSLP,
> SCMAD, SCWCD, SCJP
>
> --- In cisspBR at yahoogroups.com <cisspBR%40yahoogroups.com>, Wagner Elias
> <wagner.elias at ...> wrote:
> >
> > Post falando que a visão do Touchpoints falha separando AppSec de Dev
> > e deixando entender que segurança é custo.
> >
> >
> http://manicode.blogspot.com/2011/01/touchpoints-and-bsimm-hurt-appsec.html
> >
> > Eu concordo com parte dos argumentos. Segurança deve ser tratado como
> > parte do desenvolvimento e não como "acessório". E segurança não é
> > custo, pois uma falha pode gerar prejuízos maiores e ao longo do tempo
> > se tratarmos segurança como parte do processo de desenvolvimento o
> > custo vai sendo absorvido e não passa a ser mais um adendo.
> >
> >
> > O que acham?
> >
> > Abs.
> > --
> > Wagner Elias - OWASP Chapter Leader São Paulo
> > ----------------------------------------------------------
> > Twitter: www.twitter.com/welias
> > Blog: http://wagnerelias.com
> > Profile: http://www.linkedin.com/in/wagnerelias
> >
>
>  __._,_.___
>   Reply to sender<alexmbraga at terra.com.br?subject=Re%3A%20Seguran%C3%A7a%20em%20Desenvolvimento%20%C3%A9%20custo%3F>| Reply
> to group<cisspBR at yahoogroups.com?subject=Re%3A%20Seguran%C3%A7a%20em%20Desenvolvimento%20%C3%A9%20custo%3F>| Reply
> via web post<http://groups.yahoo.com/group/cisspBR/post;_ylc=X3oDMTJycm81amJmBF9TAzk3MzU5NzE0BGdycElkAzExMDQ5NjcyBGdycHNwSWQDMTcwNTAwNzE0MARtc2dJZAMyOTgyMQRzZWMDZnRyBHNsawNycGx5BHN0aW1lAzEyOTQ3Nzc3Mzg-?act=reply&messageNum=29821>| Start
> a New Topic<http://groups.yahoo.com/group/cisspBR/post;_ylc=X3oDMTJmYnU1cXV0BF9TAzk3MzU5NzE0BGdycElkAzExMDQ5NjcyBGdycHNwSWQDMTcwNTAwNzE0MARzZWMDZnRyBHNsawNudHBjBHN0aW1lAzEyOTQ3Nzc3Mzg->
> Messages in this topic<http://groups.yahoo.com/group/cisspBR/message/29798;_ylc=X3oDMTM3MTNncGcyBF9TAzk3MzU5NzE0BGdycElkAzExMDQ5NjcyBGdycHNwSWQDMTcwNTAwNzE0MARtc2dJZAMyOTgyMQRzZWMDZnRyBHNsawN2dHBjBHN0aW1lAzEyOTQ3Nzc3MzgEdHBjSWQDMjk3OTg->(
> 10)
>  Recent Activity:
>
>
>  Visit Your Group<http://groups.yahoo.com/group/cisspBR;_ylc=X3oDMTJmaGZjNXQ0BF9TAzk3MzU5NzE0BGdycElkAzExMDQ5NjcyBGdycHNwSWQDMTcwNTAwNzE0MARzZWMDdnRsBHNsawN2Z2hwBHN0aW1lAzEyOTQ3Nzc3Mzg->
>  LISTA PARCEIRA
> SecurityGuys. Sua lista de empregos na área de Segurança da Informação.
> http://lists.securityguys.com.br/
>  [image: Yahoo! Groups]<http://groups.yahoo.com/;_ylc=X3oDMTJlYW0zNWhnBF9TAzk3MzU5NzE0BGdycElkAzExMDQ5NjcyBGdycHNwSWQDMTcwNTAwNzE0MARzZWMDZnRyBHNsawNnZnAEc3RpbWUDMTI5NDc3NzczOA-->
> Switch to: Text-Only<cisspBR-traditional at yahoogroups.com?subject=Change+Delivery+Format:+Traditional>,
> Daily Digest<cisspBR-digest at yahoogroups.com?subject=Email+Delivery:+Digest>•
> Unsubscribe <cisspBR-unsubscribe at yahoogroups.com?subject=Unsubscribe> • Terms
> of Use <http://docs.yahoo.com/info/terms/>
>    .
>
> __,_._,___
>



-- 
Wagner Elias - OWASP Chapter Leader São Paulo
------------------------------------------------------------------
Twitter: www.twitter.com/welias
Blog: http://wagnerelias.com
Profile: http://www.linkedin.com/in/wagnerelias
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-brazilian/attachments/20110112/c0ae99a5/attachment-0001.html 


More information about the Owasp-brazilian mailing list