Verificação de segurança e desempenho

De MSTECH wiki
Revisão de 19h12min de 17 de junho de 2016 por Lucimara.maiorali (Discussão | contribs)

Ir para: navegação, pesquisa

O objetivo da verificação de segurança e desempenho é analisar através dos testes não funcionais dois dos principais requisitos não funcionais que podem afetar de forma drástica a estabilidade e a qualidade das nossas entregas, sendo de extrema importância na obtenção de um diagnóstico cada vez mais preciso nas ações de melhoria contínua e na garantia da qualidade, visando alcançar patamares mais elevados no desenvolvimento dos nossos produtos.

Pré-requisitos para execução da verificação de segurança e desempenho 

1-Providenciar a publicação do sistema/aplicação, com a última versão estável, em ambiente de teste administrado pelo DevOps;
2-Definir o escopo do teste de segurança e desempenho;
3-Descrição resumida das funcionalidades do sistema/aplicação,considerar também as funcionalidades mais críticas (que diferenciam e destacam o produto);
4-Informação da existência de problemas de segurança e desempenho conhecidos no sistema/aplicação;
5-Definir as permissões por nível de usuário para as principais funcionalidades e ativos do sistema(lista de credenciais ativas(usuário e senha)com pelo menos um usuário para cada nível de permissão.

Verificação de segurança

A verificação de segurança consiste identificar vulnerabilidades, classificá-las e indicar estratégias de mitigação para estas. É realizada uma análise ativa na qual são simulados ataques a um determinado sistema, identificando vulnerabilidades que podem ser exploradas em um ataque real.

Uma vulnerabilidade é uma falha ou fraqueza no design, implementação, operação ou gerenciamento de um sistema que pode ser explorada a fim de violar a política de segurança do mesmo. Uma ameaça é um ataque em potencial que, explorando uma vulnerabilidade, pode comprometer os ativos de uma aplicação (recursos, dados, funcionalidades).

Esse processo, conhecido como "Vulnerability Assessment", deve ser executado em uma versão estável do sistema, após a etapa de desenvolvimento. Primeiramente o sistema é submetido a scanners de vulnerabilidades automáticos. As vulnerabilidades encontradas pelos scripts automáticos são então verificadas, para eliminar falsos positivos.

Após o processo automático, o sistema é verificado manualmente por vulnerabilidades de detecção mais difícil, seguindo as diretrizes do OWASP Guide v4

A verificação de segurança é executada por [emailto:paulo.souza@mstech.com.br Paulo Roberto Lopes de Souza].

Ferramentas utilizadas 

Ferramentas de Proxy web (WebScarab,CAT,OWASP ZAP,Paros)
Scanners de vulnerabilidades automatizados (WCSA,OWASP ZAP,N-Stalker,Web Securify,Microsoft WACA,W3AF,VEGA)
Sniffers (Wireshark,Ettercap)
Gerador de pacotes e requisições HTTP (Engage Packet Builder,WebScarab,CAT)

Resultado da verificação de segurança e desempenho

Como resultado das verificações será enviado um relatório aos responsáveis do produto contendo as vulnerabilidades e itens de melhoria que deverão ser inseridas na Product Backlog. Este relatório será disponibilizado no portal [Plataforma Educacional/Escritório de Aplicação/Biblioteca Relatório de Desempenho e Segurança].

Disponível em "http://wiki.mstech.com.br/index.php?title=Verificação_de_segurança_e_desempenho&oldid=688"