Este módulo discutirá o Ciclo de Vida do Desenvolvimento de Segurança (ou SDL) da Trustworthy Computing, um processo que a Microsoft adotou para o desenvolvimento de softwares que precisam lidar com ataques mal-intencionados. O processo abrange a inserção de uma série de atividades e produtos finais focados na segurança em cada uma das fases do processo de desenvolvimento de softwares da Microsoft. Tais atividades e produtos finais incluem o desenvolvimento de modelos de ameaça durante o projeto dos softwares, a utilização de ferramentas de verificação do código de análise estática durante a implementação e a realização de revisões do código e de testes de segurança durante um "impulso de segurança" focalizado. Antes que os softwares sujeitos ao SDL possam ser lançados, devem passar por uma Revisão Final de Segurança realizada por uma equipe independente do grupo de desenvolvimento. Quando comparados com softwares que não vão utilizar o SDL, os softwares que passaram pelo processo tiveram uma redução significativa na taxa de descoberta externa de vulnerabilidades de segurança.

Treinamento on-line

Este modulo mostra várias ferramentas que podem ajudá-lo a desenvolver código mais seguro, incluíndo:

Code Analyzer: Successor do FxCop, esta ferramenta de análise estática para código gerenciado escrito em qualquer linguagem verifica muitas características, inclusive segrança.

• PreFast: Esta é uma ferramenta de análise estática para código escrito em C++

• Application Verifier: Ferramenta dinâmica que verifica vazamentos de memória e recursos. Pode ser usada com código não gerenciado escrito em qualquer linguagem

• Safe CRT Libraries: Uma nova biblioteca de runtime para C/C++ mais segura

• Buffer Security Check: Esta é uma opção do compilador C/C++ que ajuda a detectar acesso inválido de memória

• Outras ferramentas: Testes de carga, Testes unitários.

Webcast (Low)   Webcast (Mid)

Este modulo mostra o “Code Access Security” do.NET Framework. Este recurso permite um controle bastante fino do que o código gerenciado pode fazer na estação de trabalho do usuário. Este controle vai além do que é possível com listas de controle de acesso (“ACLs”) porque permite atribuir permissões baseadas na origem do código, mesmo que o usuário não mude.

Webcast (Low)   Webcast (Mid)

Este modulo mostra os fundamentos da segurança na Web, especialmente autenticação e autorização sob IIS e ASP.NET.

Webcast (Low)   Webcast (Mid)

Este modulo mostra as muitas ameaças que uma aplicação Web é sujeita, da rede ao aplicativo, passando pelo servidor. Ela apresenta disciplinas de modelagem como STRIDE e DREAD.

Webcast (Low)   Webcast (Mid)

Este modulo mostra o que você deve fazer no seu código para defender-se das ameaças mais comuns, cobrindo tópicos como:

• Protegendo a rede e os servidores

• Validação de entrada

• Acessando base de dados de forma segura

• Protegendo segredos

• Protegendo credenciais de autenticação dados de sessão

Webcast (Low) Webcast (Mid)

Hoje vou fazer algo diferente, vou lhes apresentar a forma com que os hackers comumente realizam seus ataques, qual é sua mentalidade e seus objetivos. A idéia com isso não é que se convertam em hackers, e sim que possam aprender como defender seus sistemas e aplicações web.

Webcast

Nesta apresentação vamos tratar de esclarecer um tema do qual se fala muito e todos pensam que o tem sob controle, a “defesa”. Na apresentação anterior vimos o que era uma simulação de um ataque, onde passo a passo analisamos e utilizamos as técnicas de um haker para em seguida tomar o controle de um sistema.

Neste mesmo sentido vamos agora tratar de levá-los passo a passo e construir mecanismos de defesa que nos ajude a conservar nosso emprego.

Webcast

Aqui falaremos sobre os ataques de XSS, analisaremos as técnicas e os danos que podem ser causados por este tipo de ataque.

Webcast

Aqui discutiremos os principios que deve ter em conta para desenvolver um sistema seguro. Falaremos sobre a simplicidade, desenho aberto, princípio do menor privilégio, facilidade de uso e o que fazer antes de começar.

Em seguida discutiremos sobre alguns dos erros mais comuns que devem ser evitados.

Webcast