Avaliação comparativa entre técnicas de programação defensiva aplicadas a um sistema crítico simulado. / Comparative evaluation among defensive programming techniques applied in a critical system simulated.

Alex Ander Javarotti Zumalde

05 May 2011

A introdução de software em sistemas de aplicações críticas traz consigo questões relacionadas à segurança (safety) que, durante muito tempo recaíram predominantemente sobre o desenvolvimento do hardware que compunha tais sistemas. Atualmente, padrões relacionados à segurança de software avaliam qualitativamente o impacto do seu uso sobre sistemas suscetíveis a falhas de natureza randômica. A pesquisa aqui desenvolvida visa, em complemento a outras investigações já realizadas, avaliar quantitativamente diversas técnicas de programação defensiva em função de sua representatividade no quesito segurança de sistemas de aplicação crítica tolerantes a erros. Como objetivo essencial, buscou-se avaliar o comportamento adquirido por um sistema tolerante a erros quando submetido a um processo de injeção de falhas por software. A tolerância a erros do sistema de aplicação crítica em estudo é alcançada, através de técnicas de programação defensiva aplicadas ao software original. Foram aplicadas diversas técnicas de programação defensiva e diversas combinações entre elas, de modo que foi possível avaliar quantitativamente e identificar possíveis padrões de níveis de segurança adquiridos em cada caso. / The introduction of software systems for critical applications raises safety issues that have long fell predominantly on the development of the hardware composing such systems. Currently, standards related to safety software qualitatively assess the impact of their use on systems sensitive to random errors. The research developed here seeks, in addition to other previous investigations, to quantitatively evaluate different techniques of defensive programming in function of their safety level in fault-tolerant safety critical systems. As a key objective, we sought to evaluate the behavior acquired by a fault-tolerant system when subjected to a software fault injection process. The fault-tolerance system, in a typical critical application under study, is achieved through the application of defensive programming techniques over the original software. Many defensive programming techniques and various combinations among them were applied, hence making it possible to quantitatively assess and identify possible patterns of safety levels acquired in each case.

Confiabilidade de software

Erro (falhas computacionais)

Segurança de software

Sistemas embutidos

Sistemas integrados em larga escala

Embedded systems

Error (computer failures)

Large-scale integrated systems

Software reliability

Software safety

Uso de técnicas e ferramentas para detecção de vulnerabilidades: um survey com membros de equipes de desenvolvimento ágil de software / Use of techniques and tools for vulnerability detection: a survey with members of agile software development teams

Santos, Ligia Cassia Moreno de Castro

05 April 2018

Métodos ágeis foram criados para sanar fraquezas reais e perceptíveis dos métodos tradicionais de desenvolvimento de software. Devido à pressão na entrega de produtos de software dentro do prazo, muitas vezes requisitos de segurança são pouco mensurados ou até deixados de lado. Durante o desenvolvimento ágil de software é importante detectar possíveis vulnerabilidades. Esta dissertação descreve um survey aplicado a membros de equipes de desenvolvimento de software que aplicam métodos ágeis. Para tanto, foram identificados por meio da rede de profissionais LinkedIn 110 membros de equipes ágeis que implantaram, estão em processo de implantação ou ainda irão implantar técnicas e ferramentas para detecção de vulnerabilidades. Além disso, foram entrevistados nove gerentes de equipes ágeis. O questionário e o roteiro da entrevista foram baseados em três conhecidos processos de desenvolvimento de software seguro, a saber, Processo de McGraw, OWASP CLASP e as atividades de Howard e Lipner. A coleta de dados se deu por meio de questionários e entrevistas. A análise dos resultados utilizou técnicas de estatística descritiva e análise de conteúdo. Elas indicaram os métodos ágeis mais utilizados, o uso atual das técnicas e ferramentas, as aptidões, os interesses e as necessidades em treinamento em técnicas e ferramenta para detecção de vulnerabilidades. Além disso, os benefícios obtidos com a implantação das técnicas e ferramentas, as motivações, as estratégias, as dificuldades, as limitações e as lições aprendidas foram identificadas. Os resultados indicam que existe motivação para a implantação de segurança, mas ainda não se dá atenção especial à detecção de vulnerabilidades nas equipes ágeis cujos membros participaram do survey / Agile methods were created to address real and perceived weaknesses of traditional software development methods. Due to the pressure to delivery software products on time, security requirements are often poorly addressed or even neglected. During agile software development it is important to detect possible vulnerabilities. This dissertation describes a survey applied to members of software development teams who apply agile methods. Thus, 110 members of agile teams were identified through LinkedIns network of professionals who deployed, are in the process of being deployed or will still implement techniques and tools for vulnerability detection techniques and tools were identified. The questionnaire was based on three known safe software development processes, namely, the McGraw Process, OWASP CLASP, and the activities of Howard and Lipner. Data were collected through questionnaires and interviews. The analysis of the results used techniques of descriptive statistics and content analysis. They indicated the most widely used agile methods, the current use of techniques and tools, the skills, interests and training needs of agile teams in vulnerability detection techniques and tools. In addition, the benefits of implementing the techniques and tools, the motivations, the strategies, the difficulties, the limitations and the lessons learned were identified. The results suggest that special attention is still not given to detection of vulnerabilities in the agile teams whose members participated in the survey

Agile Methods

Desenvolvimento de software

Engenharia de Software

Métodos Ágeis

Segurança de Software

Software Development

Software Engineering

Software Security

Survey

Survey

Vulnerabilidades

Vulnerabilities

Uso de técnicas e ferramentas para detecção de vulnerabilidades: um survey com membros de equipes de desenvolvimento ágil de software / Use of techniques and tools for vulnerability detection: a survey with members of agile software development teams

Ligia Cassia Moreno de Castro Santos

05 April 2018

Métodos ágeis foram criados para sanar fraquezas reais e perceptíveis dos métodos tradicionais de desenvolvimento de software. Devido à pressão na entrega de produtos de software dentro do prazo, muitas vezes requisitos de segurança são pouco mensurados ou até deixados de lado. Durante o desenvolvimento ágil de software é importante detectar possíveis vulnerabilidades. Esta dissertação descreve um survey aplicado a membros de equipes de desenvolvimento de software que aplicam métodos ágeis. Para tanto, foram identificados por meio da rede de profissionais LinkedIn 110 membros de equipes ágeis que implantaram, estão em processo de implantação ou ainda irão implantar técnicas e ferramentas para detecção de vulnerabilidades. Além disso, foram entrevistados nove gerentes de equipes ágeis. O questionário e o roteiro da entrevista foram baseados em três conhecidos processos de desenvolvimento de software seguro, a saber, Processo de McGraw, OWASP CLASP e as atividades de Howard e Lipner. A coleta de dados se deu por meio de questionários e entrevistas. A análise dos resultados utilizou técnicas de estatística descritiva e análise de conteúdo. Elas indicaram os métodos ágeis mais utilizados, o uso atual das técnicas e ferramentas, as aptidões, os interesses e as necessidades em treinamento em técnicas e ferramenta para detecção de vulnerabilidades. Além disso, os benefícios obtidos com a implantação das técnicas e ferramentas, as motivações, as estratégias, as dificuldades, as limitações e as lições aprendidas foram identificadas. Os resultados indicam que existe motivação para a implantação de segurança, mas ainda não se dá atenção especial à detecção de vulnerabilidades nas equipes ágeis cujos membros participaram do survey / Agile methods were created to address real and perceived weaknesses of traditional software development methods. Due to the pressure to delivery software products on time, security requirements are often poorly addressed or even neglected. During agile software development it is important to detect possible vulnerabilities. This dissertation describes a survey applied to members of software development teams who apply agile methods. Thus, 110 members of agile teams were identified through LinkedIns network of professionals who deployed, are in the process of being deployed or will still implement techniques and tools for vulnerability detection techniques and tools were identified. The questionnaire was based on three known safe software development processes, namely, the McGraw Process, OWASP CLASP, and the activities of Howard and Lipner. Data were collected through questionnaires and interviews. The analysis of the results used techniques of descriptive statistics and content analysis. They indicated the most widely used agile methods, the current use of techniques and tools, the skills, interests and training needs of agile teams in vulnerability detection techniques and tools. In addition, the benefits of implementing the techniques and tools, the motivations, the strategies, the difficulties, the limitations and the lessons learned were identified. The results suggest that special attention is still not given to detection of vulnerabilities in the agile teams whose members participated in the survey

Desenvolvimento de software

Engenharia de Software

Métodos Ágeis

Segurança de Software

Survey

Vulnerabilidades

Agile Methods

Software Development

Software Engineering

Software Security

Survey

Vulnerabilities