Tratando Falhas Conhecidas em Código – Juliet Test Case

14 11 2012

Apoiando o  desenvolvimento de software seguro e de qualidade, muito se fala da OWASP, porém ela é muito focada em Web Applications e nem só de Web vive a indústria de desenvolvimento de software.

Há algumas  iniciativas interessantes, como o da SEI  (Software Engineering Institute),  SafeCode, mas uma que vem me chamando muito a atenção são as do  NSA’s Center for Assured Software (CAS) via o  NIST que mantém o projeto SAMATE (Software Assurance Metrics And Tool Evaluation) Reference Dataset (SRD).

A fim de resolver a crescente falta de qualidade dos softwares utilizados no governo dos EUA, o CAS  foi criado em 2005 com a missão de melhorar a segurança de software empregado por eles. E o CAS tenta cumprir esta missão, entre outras coisas, ajudando as organizações nos processos de implantação de ferramentas para tratar de garantia de todo o ciclo de vida de desenvolvimento de software.

Continue lendo »





C/CppConBrasil | C/C++ Conferece Brasil | Brasil C/C++ Users Group Conference

26 11 2007

E em breve teremos o tão esperado evento sobre C/C++, o que parecia ser um sonho está tornando-se realidade tão rápido que é até assustador o sucesso da aderência da idéia.

Ainda há muito o que se discutir, mas em breve a comissão organizadora estará liberando mais novidades sobre o evento e garanto que ele será excepcional.

E o código seguro? Sim, uma das palestras será sobre código seguro, aguardem! 🙂





Cortando o mal pela raiz v1.0: Mudflap & Valgrind

10 11 2007

“Quem programou em C ou C++ já esbarrou nesta categoria de erro: buffer overflows que podem vir acompanhados” (ou não de) outros problemas como ponteiros não inicializados, memory leaks, etc e como afirma o David LeBlanc “toda vulnerabilidade pode ser explorada até que se prove o contrário”, portanto codificar de forma segura e debugar é preciso! Entre algumas dicas já oferecidas aqui anteriormente, segue um artigo [1] bem interessante do Savago onde ele trata de um específico tipo de buffer overflow que aborda o mudflap como ferramenta de debugging para encontrar estas falhas e o Valgrind que também é recomendada pelo Michael Behm.

[1] Detectando buffer over/underflow em C e C++ com ferramentas OpenSource

[2] Mudflap

[3] Valgrind

[4] Using valgrind to detect and prevent application memory problems





Os formatadores de strings da Granja do Solar

7 11 2007

Recentemente fiz uma revisão de código onde encontrei sprintf, gets, strcat e strcpy para todos os cantos, além de outros pecados mortais. Não houve como não lembrar dos capítulos “os formatadores de strings da Granja Solar” do livro Exceptional C++ Style (que traduzido para o pt-br virou Programação Avançada em C++) do Herb Sutter, onde de uma forma divertida ele cita George Orwell:

 

“Todos os animais são iguais, mas alguns são mais iguais do que outros”

Descontando os detalhes não tão óbvios, sobre strings, com várias fontes bibliográficas (inclusive em português) não acreditei na quantidade de código inseguro que encontrei num software comercial, mas é como diz o Jeff Atwood do Coding Horror [1] para encontrar código inseguro, basta procurar!

Continue lendo »





Os formatadores de strings da Granja do Solar

5 11 2007

Recentemente fiz uma revisão de código onde encontrei sprintf, gets, strcat e strcpy para todos os cantos, além de outros pecados mortais. Descontando os detalhes não tão óbvios, sobre strings, com várias fontes bibliográficas (inclusive em português), não acreditei na quantidade de código inseguro que encontrei num software comercial.

Como expressa o Sutter, “francamente, você já deveria estar utilizando snprintf mesmo antes dele ter tornado-se padrão” em “os formatadores de strings da Granja do Solar” capítulo do livro Exceptional C++ Style (que traduzido para o pt-br virou Programação avançada em C++) do Herb Sutter, onde de uma forma divertida ele cita George Orwell:

“Todos os animais são iguais, mas alguns são mais iguais do que outros”

Continue lendo »





Mapeamento de Processos & Write Secure Code 3

31 10 2007

O Gustavo Bittencourt [1]  lançou um post divulgando mais uma parte da série mapeamento de processos [2]  da Sandra Rosas [3].

E o David Le Blanc está querendo sugestões para o seu projeto Write Secure Code 3 [4], que segundo ele “talvez” possa ser quebrado em alguns volumes ao invés de ficar apenas em 1 volume com mais de 1.200 páginas. Isto lembra-me que no I shot the sheriff 33 [5] quando o Anderson Ramos estava comentando sobre o Information Security Management Handbook [6] (no qual ele colaborou escrevendo o capítulo Deep Packet Inspection na 6ª edição da obra) o Nelson Murilo surgeriu algo similar, dividir as edições futuras em volumes; a resposta foi bem curiosa mas expressa um realidade: Os profissionais de IT gostam destes livros volumosos.

[1] Gustavo Bittencourt

[2] Mapeamento de Processos

[3] Sandra Rosas

[4] Write Secure Code 3

[5] I shot the sheriff 33

[6] Information Security Management Handbook





Blog sobre Código Seguro

8 07 2007

Fazendo o meu constante exercício de WebZapping encontrei um blog recém criado chamado Software Seguro [1] mantido por Fabrício Braz da UnB, que de cara já deixou-me excelentes impressões pelo seu post Ferramentas de Análise de Código Fonte [2]  que tem uma abordagem bem interessante assim como um bom conteúdo e dentre muitas coisas ele comenta sobre os ciclos de desenvolvimento CLASP [3] e SDL [4].

[1] Software Seguro por Fabrício Braz 

[2] Ferramentas de Análise de Código Fonte

[3] CLASP

[4]  SDL