| Compartilhamento |
|
Exportar este item:
Use este identificador para citar ou linkar para este item:
http://bibliotecatede.uninove.br/handle/tede/3507| Tipo do documento: | Tese |
| Título: | Arquitetura integrada de normas e frameworks de desenvolvimento de software seguro aplicada para apoiar a identificação de falhas na especificação de requisitos |
| Título(s) alternativo(s): | Integrated architecture of secure software development standards and frameworks applied to support the identification of flaws in requirements specification |
| Autor: | Gatto, Dacyr Dante de Oliveira  |
| Primeiro orientador: | Sassi, Renato José |
| Primeiro membro da banca: | Sassi, Renato José |
| Segundo membro da banca: | Lopes, Fábio Silva |
| Terceiro membro da banca: | Sátyro, Walter Cardoso |
| Quarto membro da banca: | Costa, Ivanir |
| Quinto membro da banca: | Pinto, Luiz Fernando Rodrigues |
| Resumo: | O Ciclo de Vida de Desenvolvimento de Software, ou em inglês Software Development Life Cycle (SDLC) é uma abordagem de processo de desenvolvimento que abrange desde a concepção até a manutenção do produto final de software. A especificação de requisitos de software é uma fase importante do SDLC, que envolve identificar os requisitos funcionais e não funcionais. Falhas nessa fase podem levar a problemas para a organização, como problemas de segurança da informação. Uma abordagem de processo de desenvolvimento que contempla segurança da informação é o Ciclo de Vida de Desenvolvimento de Software Seguro, ou em inglês, Secure Software Development Life Cycle (S-SDLC), que integra segurança em todas as fases do desenvolvimento de software, porém ele pode não abranger todas as atividades de cada fase do ciclo. As Normas consideradas referências para a segurança da informação, como ISO/IEC 27001 e ISO/IEC 27002; e frameworks como NIST Cyberecurity Framework (CSF), CIS Critical Security Controls, Mitre Att&ck e OWASP Secure Coding Practices (OWASP SCP), apoiam esta abrangência, principalmente se integradas em uma arquitetura. A literatura menciona a importância de uma arquitetura que integre normas e frameworks de segurança da informação que aborde as falhas nas especificações de requisitos funcionais e não funcionais em todas as atividades no S-SDLC, sem sobrecarregar o desenvolvimento de software. Assim, o objetivo deste trabalho foi desenvolver e aplicar uma Arquitetura Integrada de Normas e Frameworks de Desenvolvimento de Software Seguro para apoiar a identificação de falhas de especificação de requisitos funcionais e não funcionais, nas fases do Ciclo de Vida de Desenvolvimento de Software Seguro. O desenvolvimento da arquitetura foi dividido em seis fases distintas: Revisão Sistemática da Literatura (RSL); Pesquisa Documental; Desenvolvimento da Arquitetura Integrada de Normas e Frameworks de Desenvolvimento de Software Seguro; Definição, Aplicação e Avaliação do Modelo de Maturidade do S-SDLC; Aplicação da Arquitetura Integrada de Normas e Frameworks de Desenvolvimento de Software Seguro no S-SDLC e Validação da Evolução de Maturidade do S-SDLC Pós-Aplicação da Arquitetura Integrada de Normas e Frameworks de Desenvolvimento de Software Seguro. Com o desenvolvimento e a aplicação da arquitetura, sanou-se problemas do S-SDLC, assim como observou-se que as fases e atividades do S-SDLC foram apoiadas com requisitos e controles de segurança da informação que proporcionaram o aumento da maturidade do S-SDLC, comparando-se o status do S-SDLC Pré-Aplicação e Pós-Aplicação da arquitetura. |
| Abstract: | The Software Development Life Cycle (SDLC) is a development process approach that spans from the conception to the maintenance of the final software product. The software requirements specification is a crucial phase of the SDLC, involving the identification of functional and non-functional requirements. Failures in this phase can lead to organizational issues such as information security problems. A development process approach that encompasses information security is the Secure Software Development Life Cycle (S-SDLC), which integrates security into all phases of software development, although it may not cover all activities of each phase of the cycle. Standards considered references for information security, such as ISO/IEC 27001 and ISO/IEC 27002; and frameworks like NIST Cybersecurity Framework (CSF), CIS Critical Security Controls, Mitre Att&ck, and OWASP Secure Coding Practices (OWASP SCP), support this comprehensiveness, especially if integrated into an architecture. The literature highlights the importance of an architecture that integrates information security standards and frameworks addressing failures in the specifications of functional and non-functional requirements across all activities in the S-SDLC, without overburdening software development. Thus, the aim of this work was to develop and apply an Integrated Architecture of Standards and Frameworks for Secure Software Development to support the identification of failures in specifying functional and non-functional requirements during the phases of the Secure Software Development Life Cycle. The development of the architecture was divided into six distinct phases: Systematic Literature Review (SLR); Documentary Research; Development of the Integrated Architecture of Standards and Frameworks for Secure Software Development; Definition, Application, and Evaluation of the S-SDLC Maturity Model; Application of the Integrated Architecture of Standards and Frameworks for Secure Software Development in the S-SDLC; and Validation of S-SDLC Maturity Evolution Post-Application of the Integrated Architecture of Standards and Frameworks for Secure Software Development. With the development and application of the architecture, problems of the S-SDLC were addressed, and it was observed that the phases and activities of the S-SDLC were supported with information security requirements and controls that enhanced the maturity of the S-SDLC, comparing the status of the S-SDLC Pre-Application and Post-Application of the architecture. |
| Palavras-chave: | ciclo de vida de desenvolvimento de software seguro especificação de requisitos de software requisitos funcionais e não funcionais maturidade do ciclo de vida de desenvolvimento de software seguro segurança da informação secure software development life cycle software requirements specification functional and non-functional requirements secure software development life cycle maturity information security |
| Área(s) do CNPq: | CIENCIA DA COMPUTACAO::SISTEMAS DE COMPUTACAO |
| Idioma: | por |
| País: | Brasil |
| Instituição: | Universidade Nove de Julho |
| Sigla da instituição: | UNINOVE |
| Departamento: | Informática |
| Programa: | Programa de Pós-Graduação em Informática e Gestão do Conhecimento |
| Citação: | Gatto, Dacyr Dante de Oliveira. Arquitetura integrada de normas e frameworks de desenvolvimento de software seguro aplicada para apoiar a identificação de falhas na especificação de requisitos. 2024. 293 f. Tese( Programa de Pós-Graduação em Informática e Gestão do Conhecimento) - Universidade Nove de Julho, São Paulo. |
| Tipo de acesso: | Acesso Aberto |
| URI: | http://bibliotecatede.uninove.br/handle/tede/3507 |
| Data de defesa: | 4-Jun-2024 |
| Aparece nas coleções: | Programa de Pós-Graduação em Informática e Gestão do Conhecimento |
Arquivos associados a este item:
| Arquivo | Descrição | Tamanho | Formato | |
|---|---|---|---|---|
| Dacyr Dante de Oliveira Gatto.pdf | Dacyr Dante de Oliveira Gatto | 6,44 MB | Adobe PDF | Baixar/Abrir Pré-Visualizar |
Os itens no repositório estão protegidos por copyright, com todos os direitos reservados, salvo quando é indicado o contrário.