Introdução
O processo de desenvolvimento tem por intuito melhorar a qualidade do software expedido de forma a mitigar possíveis problemas de segurança.
Objetivo
Este documento tem o objetivo de mostrar o processo e as etapas definidas pela equipe de Tecnologia e da Segurança da Informação para a implementação do processo SAST (Static Analysis Security Testing) de desenvolvimento seguro utilizado no desenvolvimento do Application Server.
Definições
Este documento visa demonstrar o processo de desenvolvimento seguro baseado nos seguintes conceitos:
- SDLC (Software Development Life Cycle ou Ciclo de desenvolvimento de Software) é um processo de criação ou alteração de softwares e as metodologias utilizadas para desenvolver os mesmos.
- SAST (Static Application Security Testing) é um processo de análise estática de código-fonte para identificar vulnerabilidades.
- sSDLC (Secure Software Development Life Cycle ou Ciclo de desenvolvimento de Software Seguro) neste processo são inseridos etapas de de teste de segurança ao processo SDLC. Dentre as metodologias de testes de segurança possíveis está o SAST.
Aplicações e Abrangência
O processo de desenvolvimento seguro pode ser aplicado em todos os produtos da Tecnologia TOTVS conforme a necessidade de detectar vulnerabilidades de segurança.
Princípios e Requisitos
Como requisito para o processo SAST é necessário o uso de uma ferramenta específica para tal finalidade. A ferramenta selecionada é a CheckMarx.
Processo
O processo de desenvolvimento seguro (SAST) adotado pela Tecnologia TOTVS inclui as seguintes etapas para o código-fonte existente:
Escanear do código-fonte
O escaneamento consiste no uso da ferramenta Checkmarx para avaliar todos o código-fonte existente para detectar possíveis vulnerabilidades. O escaneamento pode ser feito de forma completa, todo o código-fonte é avaliado ou incremental, apenas o código-fonte alterado, desde o último escaneamento é reavaliado. A periodicidade dos escaneamentos pode variar conforme o produto da Tecnologia TOTVS. As vulnerabilidades encontradas são classificadas através de 3 níveis de severidade: alta (high), média (medium), baixa (low).
Analisar dos resultados do escaneamento
A análise dos resultados do escaneamento é realizada com o objetivo de eliminar falsos positivos e identificar possíveis vulnerabilidades críticas.
Criar atividades de correção
As vulnerabilidades confirmadas na etapa de análise dos resultados de escaneamento geram atividades de correção e/ou melhorias, no código-fonte analisado, para a equipe responsável pelo produto da Tecnologia TOTVS.
Priorizar das atividades
As atividades criadas serão priorizadas pela equipe do produto das Tecnologia TOTVS conforme a sua criticidade para solucionar a vulnerabilidade encontrada.
Solucionar das atividades
Implementar efetivamente a correção necessária para sanar a vulnerabilidade no produto da Tecnologia TOTVS com o apoio da equipe de Segurança da informação. Após a solução um novo escaneamento é realizado para confirmar a efetividade da solução.
Visão Geral
Import HTML Content
Conteúdo das Ferramentas
Tarefas