Mudanças entre as edições de "Verificação de segurança e desempenho"
| Linha 27: | Linha 27: | ||
'''''Sniffers''''' (Wireshark,Ettercap) | '''''Sniffers''''' (Wireshark,Ettercap) | ||
'''Gerador de pacotes e requisições ''HTTP''''' (Engage Packet Builder,WebScarab,CAT) | '''Gerador de pacotes e requisições ''HTTP''''' (Engage Packet Builder,WebScarab,CAT) | ||
| + | |||
| + | '''Verificação de desempenho''' | ||
| + | |||
| + | |||
| + | |||
| + | |||
| + | |||
| + | |||
| + | |||
| + | |||
| + | |||
'''Resultado da verificação de segurança e desempenho''' | '''Resultado da verificação de segurança e desempenho''' | ||
Como resultado das verificações será enviado um relatório aos responsáveis do produto contendo as vulnerabilidades e itens de melhoria que deverão ser inseridas na '''Product Backlog'''. Este relatório será disponibilizado no portal [[http://portal.mstech.com.br/eda/Relatrio%20de%20Desempenho%20e%20Segurana/Forms/AllItems.aspx Plataforma Educacional/Escritório de Aplicação/Biblioteca Relatório de Desempenho e Segurança]]. | Como resultado das verificações será enviado um relatório aos responsáveis do produto contendo as vulnerabilidades e itens de melhoria que deverão ser inseridas na '''Product Backlog'''. Este relatório será disponibilizado no portal [[http://portal.mstech.com.br/eda/Relatrio%20de%20Desempenho%20e%20Segurana/Forms/AllItems.aspx Plataforma Educacional/Escritório de Aplicação/Biblioteca Relatório de Desempenho e Segurança]]. | ||
Edição das 20h55min de 20 de junho de 2016
O objetivo da verificação de segurança e desempenho é analisar através dos testes não funcionais dois dos principais requisitos não funcionais que podem afetar de forma drástica a estabilidade e a qualidade das nossas entregas, sendo de extrema importância na obtenção de um diagnóstico cada vez mais preciso nas ações de melhoria contínua e na garantia da qualidade, visando alcançar patamares mais elevados no desenvolvimento dos nossos produtos.
Pré-requisitos para execução da verificação de segurança e desempenho
1-Providenciar a publicação do sistema/aplicação, com a última versão estável, em ambiente de teste administrado pelo DevOps; 2-Definir o escopo do teste de segurança e desempenho; 3-Descrição resumida das funcionalidades do sistema/aplicação,considerar também as funcionalidades mais críticas (que diferenciam e destacam o produto); 4-Informação da existência de problemas de segurança e desempenho conhecidos no sistema/aplicação; 5-Definir as permissões por nível de usuário para as principais funcionalidades e ativos do sistema(lista de credenciais ativas(usuário e senha)com pelo menos um usuário para cada nível de permissão.
Verificação de segurança
A verificação de segurança consiste identificar vulnerabilidades, classificá-las e indicar estratégias de mitigação para estas. É realizada uma análise ativa na qual são simulados ataques a um determinado sistema, identificando vulnerabilidades que podem ser exploradas em um ataque real.
Uma vulnerabilidade é uma falha ou fraqueza no design, implementação, operação ou gerenciamento de um sistema que pode ser explorada a fim de violar a política de segurança do mesmo. Uma ameaça é um ataque em potencial que, explorando uma vulnerabilidade, pode comprometer os ativos de uma aplicação (recursos, dados, funcionalidades).
Esse processo, conhecido como "Vulnerability Assessment", deve ser executado em uma versão estável do sistema, após a etapa de desenvolvimento. Primeiramente o sistema é submetido a scanners de vulnerabilidades automáticos. As vulnerabilidades encontradas pelos scripts automáticos são então verificadas, para eliminar falsos positivos.
Após o processo automático, o sistema é verificado manualmente por vulnerabilidades de detecção mais difícil, seguindo as diretrizes do OWASP Guide v4
A verificação de segurança é executada por Paulo Roberto Lopes de Souza
Ferramentas utilizadas
Ferramentas de Proxy web (WebScarab,CAT,OWASP ZAP,Paros) Scanners de vulnerabilidades automatizados (WCSA,OWASP ZAP,N-Stalker,Web Securify,Microsoft WACA,W3AF,VEGA) Sniffers (Wireshark,Ettercap) Gerador de pacotes e requisições HTTP (Engage Packet Builder,WebScarab,CAT)
Verificação de desempenho
Resultado da verificação de segurança e desempenho
Como resultado das verificações será enviado um relatório aos responsáveis do produto contendo as vulnerabilidades e itens de melhoria que deverão ser inseridas na Product Backlog. Este relatório será disponibilizado no portal [Plataforma Educacional/Escritório de Aplicação/Biblioteca Relatório de Desempenho e Segurança].
