بررسی چرخه‌های ارائه شده جهت توسعه امن نرم‌افزار(1) بسمه‌تعالی توسعه امـن نـرم‌افزار بررسی چرخه‌های ارائه شده جهت توسعه امن نرم‌افزار(1) رسول جلیلی بهــــار92

مطالب این جلسه مرور چرخه مایکروسافت معرفی رویکرد کلی ابزارهای ارائه شده

چارچوب امنیتی کلی در مایکروسافت چارچوب امنیتی کلی در مایکروسافت مدل کردن تهدید وارسی کد ویژگی‌های بلااستفاده به صورت پیشفرض غیر فعال شده اند کاهش سطح حملات رعایت اصل کمترین مجوزها استفاده از مفاهیم و ابزارهای امنیتی چرخه مربوطه آموزش جامعه پشتیبان شفافیت صراحت سیاستها

چرخه توسعه امن مایکروسافت آخرین به روز‌رسانی در 2010

نسبت این چرخه با چرخه مک‌گرا؟ اشتراکات زیاد رویکرد کلی با چرخه مک‌گرا تاکید بر آموزش ورود بحث حریم خصوصی در کنار امنیت به صورت مجزا مشخص بودن ابزارها در بخش پیاده‌سازی واژ‌ه شناسی متفاوت در تست (تست نفوذ؟ فازتست) فاز عرضه و پاسخ‌گویی به رخداد صریح بسیار عملیاتی به دلیل استفاده در محیط میدانی

STRIDE در مدل تهدید

STRIDE در مدل تهدید S>>> Spoofing identity هویت جعلی T>>> Tampering with data امکان دستکاری داده R>>> Repudiation عدم انکار I>>> Information disclosure. افشای داده‌ها در نتیجه کنترل دسترسی نادرست D>>> Denial of service منع سرویس (مسبب سرویس نگرفتن کاربران مجاز) E>>> Elevation of privilege تعدی و اکتساب مجوز بالاتر

معرفی برخی ابزارهای ارائه شده چرخه مایکروسافت معرفی برخی ابزارهای ارائه شده چرخه مایکروسافت

ابزار تحلیل سطح حمله (Attack Surface Analyzer 1.0 ) یک لحظه‌تصویر از سیستم گرفته و بعد از نصب محصول تغییرات در عناصر کلیدی سطح حمله در ویندوز را نمایش می دهد. توسعه دهنده قادر خواهد بود تا تغییرات در سطح حمله را بر اثر محصول خود مشاهده کند .

ابزار برای مدل کردن تهدید (SDL Threat Modeling Tool v3.1.8 ) عنصر کلیدی در اجرای چرخه تیم توسعه باید سطح حمله پیش‌فرض و بیشینه محصول را در فاز طراحی تعیین کرده و احتمال وقوع آن‌ها را کاهش دهند ابزاری برای استفاده در فاز طراحی برای معماران نرم‌افزار و مهندسان جهت تحلیل طراحی و معماری قبل از آغاز پیاده‌سازی

ابزار فازتست پایه فایل MiniFuzz تولیدی ورودی‌های تصادفی برای تست کد اداره فایل (file-handling)

ابزار فازتست Regex برای پیشگیری از حملات منع سرویس این ابزار وجود این آسیب‌پذیری اجرایی نمایی را بررسی می‌کند.