SegInfocast #44 – Análise de Código e Segurança de Software

SegInfocast #44: Faça o download aqui. (13:06 min, 9,5 MB)

Nesta nova edição do SegInfocast, o entrevistador convidado Willian Caprino bate um papo pela primeira vez com Davidson Boccardo, Coordenador da Green Hat Labs, profissional com mais de 10 anos de experiência em análise e proteção de software e engenharia reversa para uma conversa sobre Análise de Código e Segurança de Software.

 

Qual a importância da análise de código e segurança de software”?

Davidson sinaliza que embora haja treinamento e conscientização em segurança da informação, é muito fácil encontrar softwares desenvolvidos de forma insegura, sem seguir as melhores práticas como as o OWASP. Para cobrir essa lacuna, a Clavis Segurança da Informação lançou o serviço de análise de código e segurança de software com o objetivo de identificar vulnerabilidades em aplicações nas suas diversas fases, desde a arquitetura de segurança do software, análise dos códigos, identificação de vulnerabilidades associadas a falhas de implantação, configuração e operação do software e por ultimo avaliação da aplicação em seu ambiente de operação e a utilização de ferramentas de proteção de software.

Qual a relação entre este serviço e o desenvolvimento de aplicações seguras?

O serviço visa identificar as vulnerabilidades em um software desenvolvido para fins de compliance ou verificação, já o desenvolvimento seguro exige que os princípios da segurança sejam aplicados desde a concepção do software, com a correta especificação de requisitos de segurança e a correta concepção de uma arquitetura de segurança. Após a concepção do software seguro, é importante que a implementação do código siga as boas práticas de codificação segura, garantindo que falhas típicas de programação não ocorram. Dependendo do contexto da aplicação, além da concepção e codificação segura, é importante avaliar o ambiente na qual a aplicação estará exposta, de modo a protegê-la contra situações atípicas ou adversas, e ao mesmo tempo garantir o correto comportamento da aplicação.

Relembre os outros episódios apresentados por Davidson Boccardo:

Seginfocast #19 – Análise Forense Computacional
SegInfocast #21 – Lançamento do livro Guerra Cibernética
SegInfocast #23 – Análise Forense Computacional II
SegInfocast #32 – A importância de desenvolver sistemas seguros, do projeto à produção

Sobre o entrevistado

Davidson Rodrigo Boccardo é Doutor em Engenharia Elétrica pela Faculdade de Engenharia de Ilha Solteira UNESP (2009), com período parcial na University of Louisiana at Lafayette, na qual trabalhou em engenharia reversa de artefatos maliciosos no Software Research Lab do Computer Advanced Center Studies. Entre 2010 e 2015 coordenou o projeto “Segurança de Software em Medidores Inteligentes” no Instituto Nacional de Metrologia, Qualidade e Tecnologia – Inmetro, com a publicação de mais de 50 artigos científicos. É atualmente o Coordenador do Laboratório de Análise de Código e Segurança de Código da Green Hat – Segurança da Informação. Também é instrutor da Clavis – Segurança da Informação na trilha de Forense Computacional, Testes de Invasão e Desenvolvimento Seguro. Possui certificações CHFI (Certified Hacker Forensic Investigator) pela Ec-Council e Secure Programming pela EXIN.