TOTVSTEC

Árvore de páginas

Versões comparadas

Versão antiga 1

changes.mady.by.user Fabio Garbin

Gravado em

comparado com

Nova versão Atual

changes.mady.by.user Fabio Garbin

Gravado em

Chave

  • Esta linha foi adicionada.
  • Esta linha foi removida.
  • A formatação mudou.

Pagetitle
SAST
SAST

Painel
titleIntrodução

O processo de desenvolvimento tem por intuito melhorar a qualidade do software expedido de forma a mitigar possíveis problemas de segurança.

Painel
titleObjetivo

Este documento tem o objetivo de mostrar o processo e as etapas definidas pela equipe de Tecnologia e da Segurança da Informação para a implementação do processo SAST (Static Analysis Security Testing) de desenvolvimento seguro utilizado no desenvolvimento do Application Server.

Painel
titleDefinições

Este documento visa demonstrar o processo de desenvolvimento seguro baseado nos seguintes conceitos:

  • SDLC (Software Development Life Cycle ou Ciclo de desenvolvimento de Software) é um processo de criação ou alteração de softwares e as metodologias utilizadas  para desenvolver os mesmos.
  • SAST (Static Application Security Testing) é um processo de análise estática de código-fonte para identificar vulnerabilidades.
  • sSDLC (Secure Software Development Life Cycle ou Ciclo de desenvolvimento de Software Seguro) neste processo são inseridos etapas de de teste de segurança ao processo SDLC. Dentre as metodologias de testes de segurança possíveis está o SAST.




Painel
titleAplicações e Abrangência

O processo de desenvolvimento seguro pode ser aplicado em todos os produtos da Tecnologia TOTVS conforme a necessidade de detectar vulnerabilidades de segurança.

Painel
titlePrincípios e Requisitos

Como requisito para o processo SAST é necessário o uso de uma ferramenta específica para tal finalidade. A ferramenta selecionada é a CheckMarx.

Painel
titleProcesso

O processo de desenvolvimento seguro (SAST) adotado pela Tecnologia TOTVS inclui as seguintes etapas para o código-fonte existente:

Painel
titleEscanear do código-fonte

O escaneamento consiste no uso da ferramenta Checkmarx para avaliar todos o código-fonte existente para detectar possíveis vulnerabilidades. O escaneamento pode ser feito de forma completa, todo o código-fonte é avaliado ou incremental, apenas o código-fonte alterado, desde o último escaneamento é reavaliado. A periodicidade dos escaneamentos pode variar conforme o produto da Tecnologia TOTVS. As vulnerabilidades encontradas são classificadas através de 3 níveis de severidade: alta (high), média (medium), baixa (low). 

Exemplo com lista de escaneamentos executados:


Painel
titleAnalisar dos resultados do escaneamento

A análise dos resultados do escaneamento é realizada com o objetivo de eliminar falsos positivos e identificar possíveis vulnerabilidades críticas.


Painel
titleCriar atividades de correção

As vulnerabilidades confirmadas na etapa de análise dos resultados de escaneamento geram atividades de correção e/ou melhorias, no código-fonte analisado, para a equipe responsável pelo produto da Tecnologia TOTVS.

Painel
titlePriorizar das atividades

As atividades criadas serão priorizadas pela equipe do produto das Tecnologia TOTVS conforme a sua criticidade para solucionar a vulnerabilidade encontrada.

Painel
titleSolucionar das atividades

Implementar efetivamente a correção necessária para sanar a vulnerabilidade no produto da Tecnologia TOTVS com o apoio da equipe de Segurança da informação. Após a solução um novo escaneamento é realizado para confirmar a efetividade da solução.