Mudanças entre as edições de "Verificação de segurança e desempenho"
| Linha 32: | Linha 32: | ||
A verificação de desempenho é uma classe de testes implementada e executada para caracterizar o desempenho relacionado a características do sistema/produto, como fluxos de execução, tempos de respostas e limites operacionais. A verificação de desempenho abrange os seguintes tipos de testes: | A verificação de desempenho é uma classe de testes implementada e executada para caracterizar o desempenho relacionado a características do sistema/produto, como fluxos de execução, tempos de respostas e limites operacionais. A verificação de desempenho abrange os seguintes tipos de testes: | ||
| − | '''Teste de carga''': Verifica a aceitabilidade do comportamento de desempenho do objeto de teste em condições operacionais variáveis (como número de usuário, número de transações, | + | '''Teste de carga''': Verifica a aceitabilidade do comportamento de desempenho do objeto de teste em condições operacionais variáveis (como número de usuário, número de transações, entre outros), enquanto as configurações permanecem as mesmas. |
'''Teste de stress:'''Verifica a aceitabilidade do comportamento de desempenho do objeto de teste quando condições anormais ou externas forem encontradas, como a redução dos recursos ou um número extremamente alto de usuários. | '''Teste de stress:'''Verifica a aceitabilidade do comportamento de desempenho do objeto de teste quando condições anormais ou externas forem encontradas, como a redução dos recursos ou um número extremamente alto de usuários. | ||
Edição das 15h01min de 21 de junho de 2016
O objetivo da verificação de segurança e desempenho é analisar através dos testes não funcionais dois dos principais requisitos não funcionais que podem afetar de forma drástica a estabilidade e a qualidade das nossas entregas, sendo de extrema importância na obtenção de um diagnóstico cada vez mais preciso nas ações de melhoria contínua e na garantia da qualidade, visando alcançar patamares mais elevados no desenvolvimento dos nossos produtos.
Pré-requisitos para execução da verificação de segurança e desempenho
1-Providenciar a publicação do sistema/aplicação, com a última versão estável, em ambiente de teste administrado pelo DevOps; 2-Definir o escopo do teste de segurança e desempenho; 3-Descrição resumida das funcionalidades do sistema/aplicação,considerar também as funcionalidades mais críticas (que diferenciam e destacam o produto); 4-Informação da existência de problemas de segurança e desempenho conhecidos no sistema/aplicação; 5-Definir as permissões por nível de usuário para as principais funcionalidades e ativos do sistema(lista de credenciais ativas(usuário e senha)com pelo menos um usuário para cada nível de permissão.
Verificação de segurança
A verificação de segurança consiste identificar vulnerabilidades, classificá-las e indicar estratégias de mitigação para estas. É realizada uma análise ativa na qual são simulados ataques a um determinado sistema, identificando vulnerabilidades que podem ser exploradas em um ataque real.
Uma vulnerabilidade é uma falha ou fraqueza no design, implementação, operação ou gerenciamento de um sistema que pode ser explorada a fim de violar a política de segurança do mesmo. Uma ameaça é um ataque em potencial que, explorando uma vulnerabilidade, pode comprometer os ativos de uma aplicação (recursos, dados, funcionalidades).
Esse processo, conhecido como "Vulnerability Assessment", deve ser executado em uma versão estável do sistema, após a etapa de desenvolvimento. Primeiramente o sistema é submetido a scanners de vulnerabilidades automáticos. As vulnerabilidades encontradas pelos scripts automáticos são então verificadas, para eliminar falsos positivos.
Após o processo automático, o sistema é verificado manualmente por vulnerabilidades de detecção mais difícil, seguindo as diretrizes do OWASP Guide v4
A verificação de segurança é executada por Paulo Roberto Lopes de Souza
Ferramentas utilizadas
Ferramentas de Proxy web (WebScarab,CAT,OWASP ZAP,Paros) Scanners de vulnerabilidades automatizados (WCSA,OWASP ZAP,N-Stalker,Web Securify,Microsoft WACA,W3AF,VEGA) Sniffers (Wireshark,Ettercap) Gerador de pacotes e requisições HTTP (Engage Packet Builder,WebScarab,CAT)
Verificação de desempenho
A verificação de desempenho é uma classe de testes implementada e executada para caracterizar o desempenho relacionado a características do sistema/produto, como fluxos de execução, tempos de respostas e limites operacionais. A verificação de desempenho abrange os seguintes tipos de testes:
Teste de carga: Verifica a aceitabilidade do comportamento de desempenho do objeto de teste em condições operacionais variáveis (como número de usuário, número de transações, entre outros), enquanto as configurações permanecem as mesmas.
Teste de stress:Verifica a aceitabilidade do comportamento de desempenho do objeto de teste quando condições anormais ou externas forem encontradas, como a redução dos recursos ou um número extremamente alto de usuários.
A verificação de desempenho é executada por Taynara Jacon Nakashima
Ferramentas utilizadas
Ferramenta de teste (JMeter) Web Debugging Proxy (Fiddler) Resource and Performance Monitor (Perfmon)
Resultado da verificação de segurança e desempenho
Como resultado das verificações será enviado um relatório aos responsáveis do produto contendo as vulnerabilidades e itens de melhoria que deverão ser inseridas na Product Backlog. Este relatório será disponibilizado no portal [Plataforma Educacional/Escritório de Aplicação/Biblioteca Relatório de Desempenho e Segurança].
