Técnicas e ferramentas para detecção de vulnerabilidades em ambientes de desenvolvimento ágil de software/ Techniques and tools for detection of vulnerabilities in software agile development environments

Authors

  • Ligia Cássia M. C. Santos
  • Edmir Parada Vasques Prado
  • Marcos Lordello Chaim

DOI:

https://doi.org/10.34117/bjdv6n6-081

Keywords:

Desenvolvimento de Software, Detecção de Vulnerabilidades, Métodos Ágeis

Abstract

Os sistemas de informação precisam ser seguros para atingir seus objetivos. Portanto, durante o desenvolvimento, é necessário detectar possíveis vulnerabilidades presentes no software. Este artigo tem como objetivo descrever o uso de técnicas e ferramentas de detecção de vulnerabilidades (TFDV) em ambientes complexos e sua relação com a qualidade de software e modelos de serviço em equipes que usam métodos ágeis. Para isso, foi realizada uma pesquisa listando 18 técnicas e ferramentas que usavam três processos bem conhecidos de desenvolvimento seguro de software. A pesquisa foi aplicada a 76 membros de equipes de desenvolvimento ágil de software, que já implantaram, estão em processo de implantação, ou vão implantar TFDV nos projetos. A partir dos dados coletados, foi possível descrever o uso de TFDV em ambientes complexos de desenvolvimento e identificar associações entre a adoção da qualidade de software e o uso de TFDV. Para tanto, foi utilizado o Teste Exato de Fisher para analisar e interpretar as associações encontradas

References

AAKER, D. A.; KUMAR, V; DAY, G. S. Marketing research, 7th edition. John Wiley’s & Sons, New York, USA, 2004.

AXELOS. IT Service Management. What is ITIL?, 2018. Disponível em: <https://www.axelos.com/best-practicesolutions/itil/what-is-it-service-management >.

BABBIE, E.; HALLEY, E.; ZANINO, F. J. Adventures in Social Research. California: Sage Publications, 2000.

BACA, D.; BOLDT, M.; CARLSSON, B.; JACOBSSON, A. A Novel Security-Enhanced Agile Software Development Process Applied in an Industrial Setting. In 10th International Conference on Availability, Reliability and Security, p. 11-19, 2015.

BARTSCH S. Practitioners' perspectives on security in agile development. In Sixth International Conference on Availability, Reliability and Security, p. 479-484, 2011.

BECK, K. Extreme programming explained: Embrace change, 2nd edition. Addison -Wesley, Upper Saddle River, NJ, 2000.

BISHOP, M. Computer security: art and science. Addison- Wesley Professional, 2003.

CERT.br. Centro de Estudos, Resposta e Tratamento a Incidentes de Segurança no Brasil. Cartilha de segurança para internet: ataques na internet, 2012. Disponível em: <https://cartilha.cert.br/>.

CMMI. IT What Is Capability Maturity Model Integration (CMMI)?, 2018. Disponível em:<https://cmmiinstitute.com/>.

CRISTOFOLI, F.; PRADO, E. P. V.; TAKAOKA H. Gestão da Terceirização da Tecnologia da Informação Baseada nas Práticas de Governança In International Conference on Information Systems and Technology Management. 2012.

CRUZES, D. S.; FELDERER, M.; OYETOYAN, T. D.; GANDER, T. M.; PEKARIC, I. How is security testing done in agile teams? A cross-case analysis of four software teams. In International Conference on Agile Software Development, p. 201–216, 2017.

FISHER, R. A.; BENNETT, J. H. Statistical methods, experimental design, and scientific inference, 1990.

GREGOIRE, J. et al. On the secure software development process: CLASP and SDL compared. In Proceedings of the Third International Workshop on Software Engineering for Secure Systems, p. 1-7, 2007.

GROUP, I. IEEE Standard classification for software anomalies. In IEEE Standards Associations, p. 1-24, 2010.

GTIESKAMP, W.; GUREVICH, Y.; SCHULTE, W.; VEANES, M. Generating finite state machines. In ACM SIGSOFT, p. 112-122, 2002.

HOWARD, M.; LIPNER, S. The security development lifecycle, 1st edition. Microsoft Press Redmond, WA, USA, 2006.

KHAIM, R.; NAZ, S.; ABBAS, F.; IQBA, N.; HAMAYUN, M.; PAKISTAN, R. A review of security integration technique in agile software development. International Journal of Software Engineering & Applications, v. 7, n. 3, 2016.

KINNEAR, T. C.; TAYLOR, J. R. Marketing Research: an applied approach. International Student Edition, McGraw- Hill, Tokyo, 1979.

MÁRQUEZ, P. G.; SILVIA, R.; NOEL, S.; MATALONGA; ASTUDILLO, H. Identifying emerging security concepts using software artifacts through an experimental case. In Chilean Computer Science Society (SCCC), p. 1-6, 2015.

MCGRAW, G. Software security: building security in, 1st edition. Addison- Wesley Professional, 2006.

MCGRAW, G.; MORRISSETT, G. Attacking malicious code. In IEEE Computer Society, p. 1-11, 2000.

NIST. National Institute of Standards and Technology. National Vulnerability Database – NVD, 2009. Disponível em: <https://nvd.nist.gov/vuln>.

OTHMANE, L. B.; ANGIN, P.; WEFFERS, H.; BHARGAVA, B. Extending the agile development process to develop acceptably secure software. In IEEE Transaction on Dependable and Secure Computing, v. 11, n. 6, p. 497-509, 2014.

OWASP. OWASP CLASP Concepts, 2016. Disponível em: <https://www.owasp.org/index.php/CLASP_Concepts>.

OWASP. OWASP Top Ten, 2017. Disponível em: <https://www.owasp.org/index.php/Top_10-2017_Top_10>.

OYETOYAN, T. D.; CRUZES, D. S.; GILJE, M. J. An empirical study on the relationship between software security skills, usage, and training needs in agile settings. In 11th International Conference on Availability, Reliability and Security, 2016.

PINHEIRO, J. M. S. Ameaças e ataques aos sistemas de informação: Prevenir e antecipar. UniFOA, p. 1-11, 2011.

SANTOS, L. C. M. C.; CHAIM, M. L.; PRADO, E. P. V., 2018. Instrumento do Survey sobre Técnicas e Ferramentas de Detecção de Vulnerabilidades. Disponível em: <https://github.com/SAEG1/InstrumentoEstudodeCaso.git/>.

SEACORD, R. C.; HOUSEHOLDER, A. D. A Structured approach to classifying security vulnerabilities. CMU SEI, 2005.

Softex. Guia Geral de Software, 2016. Disponível em: <https://www.softex.br/mpsbr/guias/>.

SOMMERVILLE, I. Software Engineering, 9th edition. Pearson Education, Boston, Massachusetts, 2011.

STALLINGS. Computer security. Pearson Education, Boston, Massachusetts, 2nd edition, 2012.

VERDON, D.; MCGRAW, G. Risk analysis. IEEE Security & Privacy, p. 79-84, 2004.

VIANNA, E. W.; FERNANDES, J. H. C. O gestor da segurança da informação no espaço cibernético governamental: Grandes desafios, novos perfis e procedimentos. Brazilian Journal of Information Science, v. 9, n. 1, p. 1-28, 2015.

WEBER, T. S. Tolerância a falhas: Conceitos e exemplos. In: Programa de Pós-Graduação–Instituto de Informática- UFRGS, p. 1-5, 2003.

WRIGHTMAN, L. S.; COOK, S. W.; SELLTIZ, C. Research Methods in Social Relations, 3rd edition. Holt, Rinehart Winston, New York, 1976.

Published

2020-06-04

How to Cite

Santos, L. C. M. C., Prado, E. P. V., & Chaim, M. L. (2020). Técnicas e ferramentas para detecção de vulnerabilidades em ambientes de desenvolvimento ágil de software/ Techniques and tools for detection of vulnerabilities in software agile development environments. Brazilian Journal of Development, 6(6), 33921–33941. https://doi.org/10.34117/bjdv6n6-081

Issue

Section

Original Papers