Mapeamento de Processos & Write Secure Code 3

31 10 2007

O Gustavo Bittencourt [1]  lançou um post divulgando mais uma parte da série mapeamento de processos [2]  da Sandra Rosas [3].

E o David Le Blanc está querendo sugestões para o seu projeto Write Secure Code 3 [4], que segundo ele “talvez” possa ser quebrado em alguns volumes ao invés de ficar apenas em 1 volume com mais de 1.200 páginas. Isto lembra-me que no I shot the sheriff 33 [5] quando o Anderson Ramos estava comentando sobre o Information Security Management Handbook [6] (no qual ele colaborou escrevendo o capítulo Deep Packet Inspection na 6ª edição da obra) o Nelson Murilo surgeriu algo similar, dividir as edições futuras em volumes; a resposta foi bem curiosa mas expressa um realidade: Os profissionais de IT gostam destes livros volumosos.

[1] Gustavo Bittencourt

[2] Mapeamento de Processos

[3] Sandra Rosas

[4] Write Secure Code 3

[5] I shot the sheriff 33

[6] Information Security Management Handbook

Anúncios




Lições aprendidas em 5 anos de criação de software seguro

30 10 2007

Novembro é mes de Segurança na revista MSDN Magazine e após ler alguns artigos, realmente nenhum me chamou tanto a atenção quanto um artigo do ano passado do “Michael Howard” que aborda:

* Uso de ferramentas de análise e especialistas para rever seu código
* Redução do risco utilizando difusão e modelagem de ameaça
* Manutenção da entrada errada fora dos aplicativos
* Aprendizado de tudo sobre conceitos de segurança

Continue lendo »





Vulnerabilidade em PDF sendo explorado para instalar malwares

29 10 2007

A empresa F-Secure identificou que uma vulnerabilidade do AdobeReader – que possibilita a exploração de uma vulnerabilidade do IE7 – chamada de (W32/AdobeReader.K) – CVE-2007-5020 – está sendo explorada via spams com PDF maliciosos em anexo.

urisploit

[1] CVE-2007-5020

[2] F-Secure warning over PDF malware threat

[3] Malicious PDF Files Being Spammed Out in Volume





8 Regras simples para o desenvolvimento de código mais seguro

28 10 2007

Novembro é mes de Segurança na revista MSDN Magazine e após ler alguns artigos, realmente nenhum me chamou tanto a atenção quanto um artigo do ano passado do “Michael Howard” que aborda:

* Uso de ferramentas de análise e especialistas para rever seu código
* Redução do risco utilizando difusão e modelagem de ameaça
* Manutenção da entrada errada fora dos aplicativos
* Aprendizado de tudo sobre conceitos de segurança

Sinceramente, vale a pena “estudar” o artigo, pois apesar dos conceitos não serem novos a abordagem do Michael Howard está muito boa.

E aproveitando, já que o Howard é um dos pais do SDL [2] recomendo a leitura dos blog do SDL Team e principalmente o post que trata um relatório do governo americano chamado State of the Art of Software Security Assurance que dá muito destaque ao SDL.

De qualquer forma na revista deste último ano, também há um artigo dele bem interessante que é o [5] “Lessons Learned from Five Years of Building More Secure Software” ou lições aprendidas em 5 anos de criação de softwares mais seguros, no geral a revista está  interessante mas me agradou menos do que a de 2006.

[1] MSDN Magazine – 8 Regras simples para o desenvolvimento de código mais seguro

[2] Trustworthy Computing Security Development Lifecycle

[3] SDL Team

[4] “State of the Art of Software Security Assurance” Report

[5]  Lessons Learned from Five Years of Building More Secure Software





F# – Novos Rumos da Linguagem de Programação Funcional da Microsoft

24 10 2007

O Somasega (VP de desenvolvimento corporativo da Microsoft que é responsável pelo desenvolvimento do Visual Stúdio) anunciou na semana passada [1] que finalmente a Microsoft irá integrar sua linguagem de programação funcional – o F# [2] do Don Syme [3] Microsoft Research – nativamente ao Visual Studio com o suporte do Microsoft Forms Team.

Após alguns recursos inspirados em linguagens funcionais serem implementados no C# e no .Net como as expressões lambda, generics, LINQ e o Parallel FX este projeto avança dentro da estratégia do Visual Studio e Somasega deixa explícito que “uma” das motivações deles é conquistar o espaço acadêmico com o F# em conjunto com o IronPython e do IronRuby.

Considerando que as linguagens de programação funcionais tem estado mais restritas ao meio acadêmico do que no desenvolvimento de software comercial “talvez” este pode ser o princípio de alguma quebra de paradigmas, obviamente nos nichos onde este paradigma de programação seja mais adequada em contraponto a programação imperativa; visto que esta iniciativa pode colocar as linguagens funcionais em maior evidência, porém isto só o tempo dirá…

[1] F# – A Functional Programming Language

[2] F#

[3] Don Syme’s WebLog on F# and Other Research Projects

[4] S. Somasegar on taking F# forward

[5] Conception, evolution and application of functional programming languages





IronPython (1.1) agora é suportado pelo SharpDevelop (2.2)

22 10 2007

Um importante addin que integra o IronPython no SharpDevelop 2.2 acaba de se lançado,  pelo que testei, acredito que esta é hoje a melhor opção de IDE para o IronPython. No blog do [1] Matt’s ele detalha um pouco sobre este addin e oferece alguns exemplos bem úteis, porém ele alerta que este trabalho ainda é beta e que o release oficial será para o SharpDevelop 3 suportando o IronPython 2.0.

[1] Blog do SharpDevelop Community Site