30 de março de 2008

Refactoring e segurança de software

Refactoring é uma ténica utilizada para melhoria contínua de software.


Human Refactoring


Refactoring segundo a wikipedia:
"Refatoração (do inglês Refactoring) é o processo de modificar um sistema de software para melhorar a estrutura interna do código sem alterar seu comportamento externo.

O uso desta técnica aprimora a concepção (design) de um software e evita a deterioração tão comum durante o ciclo de vida de um código. Esta deterioração é geralmente causada por mudanças com objetivos de curto prazo ou por alterações realizadas sem a clara compreensão da concepção do sistema."

Por que não usar uma técnica geralmente utilizadas por desenvolvedores para implementar segurança ao processo?

Podemos usar o refactoring para determinar além das características de qualidade de software características que garantam a segurança de código. Assim podemos garantir um pouco mais de segurança ao desenvolvimento sem traumas.

21 de março de 2008

Lançado o Cert Resiliency Engenieering Framework

Na metade do ano passado eu fiz um review de um framework que o Cert estava trabalhando. O Cert Resiliency Engenieering Framework é um material que impressiona. Na época eu fiquei bastante empolgado e agora finalmente ele foi lançado e está aberto para comentários.

Ainda não tive a oportunidade de estudar o guide com impressionantes 456 páginas de conteúdo. Em breve pretendo colocar minhas impressões sobre o material.

OWASP Project

Cada dia mais estou empolgado com as iniciativas do OWASP no Brasil. Há pouco tempo tivemos a tradução de um material importante, agora meu amigo Eduardo Neves acaba de submeter um trabalho para o OWASP Summer of Code 2008.

Além desta iniciativa o Leonardo Cavallari tem participado ativamente dos projetos da OWASP e não posso esquecer do incansável Rodrigo Montoro.

Go Ahead OWASP!

13 de março de 2008

Segurança da Informação e o método socrático

Pronto, muitos vão achar que eu estou verdadeiramente louco. O que Sócrates tem a ver com segurança da informação?

Eu acredito que o tiozinho não tenha nada a ver, mas o seu método com certeza pode ser útil em muitas situações. Na minha humilde e questionadora opinião, não é possível responder a muitas das questões relacionadas a gestão de riscos com um checklist, ai que entra o barbudão. Sócrates utilizava um método para tirar as respostas de pessoas que achavam que entendiam algo, mas na verdade eram ignorantes no assunto.

Sócrates



O método socrático consistia em um dialogo onde ele ia fazendo perguntas simples, perguntas quais ele se mostrava estar concordando com as respostas dadas. Ao decorrer do diálogo ele ia fazendo perguntas mais complexas com base no entendimento que ele tinha das respostas dada anteriormente. Ao final do diálogo ele fazia a pessoa entrar em contradição e com argumentos dados por ele ela chegava a conclusão adequada do assunto proposto. Para a parte final Sócrates de o nome de maiêutica, ele fazia nascer as idéias. O nome é homenagem a profissão de sua mãe que era parteira.

Portanto, sempre que você se encontrar em situações onde alguem não tem uma visão clara de assuntos relacionados a gestão de riscos, use o método socrático para faze-la chegar a conclusão e conseguir atingir seus objetivos. Em entrevistas para entendimento de processos ou desenvolvimentos de planos e procedimentos funciona muito bem.

Mas cuidado, tenha pleno conhecimento do tema, como Sócrates tinha e não dê uma de Schopenhauer que quer ter razão a qualquer custo.