Carregar apresentação
A apresentação está carregando. Por favor, espere
PublicouEstela Gesser Ximenes Alterado mais de 7 anos atrás
1
PLUGINS PARA TESTES AUTOMATIZADOS DE CONFORMIDADE COM A NORMA ISO/IEC 15408 Dionei Herkenhoff Orientador: Paulo Fernando da Silva
2
Roteiro Introdução Objetivos do trabalho Fundamentação teórica Desenvolvimento Conclusão
3
Introdução Informatização de processos Sistemas Distribuídos Segurança da informação ISO/IEC 15408
4
Objetivos do trabalho Realizar testes automatizados FAU_GEN e FAU_SEL Realizar testes automatizados FAU_SAR, FAU_SAA e FAU_ARP realizar testes automatizados FIA_AFL, FIA_SOS e FIA_ATD
5
Fundamentação Teórica
6
Segurança da Informação Confidencialidade Integridade Disponibilidade
7
Norma ISO/IEC 15408 Criado a partir de um conjunto de padrões Homologada em dezembro de 1999 Requisitos de segurança
8
SCAN-CC Software de verificação de conformidades de segurança à norma ISO/IEC 15408
9
SCAN-CC Ferramenta realização e apoio no desenvolvimento de auditoria em software Possibilidade de desenvolvimento de testes automatizados de verificação de segurança Geração de relatório com o resultado dos testes
10
SCAN-CC Limitações Testes automatizados Verifica apenas sistemas desenvolvidos em JAVA
11
Trabalhos Correlatos IBM Rational AppScan Lapse
12
IBM Rational AppScan Ferramenta proprietária Verifica softwares desenvolvidos para web ISO 17799 e 27001 Custo alto da licença Apenas ambiente web
13
LAPSE Contração de Lightweight Analysis for Program Security in Eclipse Licença GNU - General Public License Verifica softwares desenvolvidos para web Não segue um padrão oficial de segurança
14
Específicação
15
Requisitos o sistema deve solicitar um arquivo do tipo eXtensible Markup Language (XML) com as configurações iniciais do sistema a ser verificado o sistema deve realizar a analise automática dos requisitos de auditoria de segurança
16
Requisitos o sistema deve realizar a analise automática dos requisitos de identificação e autenticação o sistema deve realizar a auditoria em sistemas desenvolvidos na linguagem JAVA
17
Casos de Uso
18
Diagrama de classe FAU_ARP class FAU_ARP1 «interface» IAuditing::IAuditing Package::Package FAU_ARP1 1 +listPackage *
19
Diagrama de classe FAU_GEN class FAU_GEN1 FAU_GEN1 FAU_GEN2 Package::Package «interface» IAuditing::IAuditing TestAuditing::TestAuditing StorageClassPath::StorageClassPath - storageClassPath 1 +listPackage * 1 *
20
Diagrama de classe FAU_SAA class FAU_SAA1 FAU_SAA1 «interface» IAuditing::IAuditing Package::Package 1 *
21
Diagrama de classe FAU_SAR class FAU_SAR1 FAU_SAR1 TestAuditing::TestAuditing StorageClassPath::StorageClassPath «interface» IAuditing::IAuditing Package::Package - storageClassPath 1 *
22
Diagrama de classe FAU_SEL class FAU_SEL1 FAU_SEL1 «interface» IAuditing::IAuditing Package::Package 1*
23
Diagrama de classe FIA_AFL class FIA_AFL1 FIA_AFL1 «interface» IAuditing::IAuditing Package::Package 1..*
24
Diagrama de classe FIA_ATD class FIA_ATD1 FIA_ATD1 «interface» IAuditing::IAuditing Package::Package 1..*
25
Diagrama de classe FIA_SOS class FIA_SOS1 FIA_SOS1 FIA_SOS2 «interface» IAuditing::IAuditing Package::Package 1*1*
26
Implementação Desenvolvido sistema básico de autenticação de usuário para realização dos testes O sistema a ser analisado deve implementar as interfaces disponibilizadas
27
Biblioteca Dom4J Utilizada para realização da leitura do arquivo XML com as configurações iniciais do sistema
28
Java Reflection API utilizada para realizar a análise do sistema em tempo de execução
29
Código teste FAU_ARP
32
OPERACIONALIDADE
33
Selecionando os testes
35
Solicitação do arquivo
36
Execução dos testes
37
Resultado dos testes
38
Relatório gerado
39
Resultados e discussão Dificuldade de realizar os testes de forma genérica Poucos softwares de testes verificam este padrão Verificação automatizada
40
Resultados e discussão
41
Conclusão Objetivos do trabalho Desenvolvimento de um software seguro Agilidade no desenvolvimento Validação da segurança Segurança
42
Extensões Implementar testes automatizados de outras classes adaptar a ferramenta para sua utilização via web; implementação de um WebService para dar possibilidade a ferramenta para verificação de sistemas não desenvolvidos em Java.
Apresentações semelhantes
© 2024 SlidePlayer.com.br Inc.
All rights reserved.