Questões de Segurança em Engenharia de Software

Código:

CC4034

Sigla:

CC4034

Nível:

400

Áreas Científicas
Classificação	Área Científica
OFICIAL	Ciência de Computadores

Ocorrência: 2018/2019 - 1S

Ativa?	Sim
Página Web:	http://www.dcc.fc.up.pt/~edrdo/QSES1819
Unidade Responsável:	Departamento de Ciência de Computadores
Curso/CE Responsável:	Mestrado em Segurança Informática

Ciclos de Estudo/Cursos

Sigla	Nº de Estudantes	Plano de Estudos	Anos Curriculares	Créditos UCN	Créditos ECTS	Horas de Contacto	Horas Totais
M:SI	8	Plano de estudos a partir de 2014/2015	2	-	6	42	162

Língua de trabalho

Português - Suitable for English-speaking students

Objetivos

A unidade curricular dá uma introdução à engenharia de software seguro. Os alunos aprendem como usar  princípios, técnicas e ferramentas fundamentais para a concepção software seguro, a fim de evitar / detectar / corrigir algumas das classes mais comuns de vulnerabilidades de segurança em software. Estes conhecimentos são exercitados através de trabalhos práticos.

Resultados de aprendizagem e competências

No final desta unidade curricular, pretende-se que os estudantes:

1. Entendam o ciclo de desenvolvimento de software do ponto de vista da segurança em termos de princípios gerais e processos concretos nos várias estágios de desenvolvimento.
2. Sejam capazes na prática de aplicar/usar metodologias/ferramentas concretas no desenvolvimento de software seguro por forma a prevenir/detectar/mitigar vulnerabilidades de segurança comuns.

Modo de trabalho

Presencial

Programa

Segurança & engenharia software

• Requisitos de segurança.
• Modelação de ameaças e análise de risco.
• Princípios & falácias na concepção de software seguro.
• "Touchpoints" de segurança no ciclo de desenvolvimento de software

"Building security in" -- técnicas e ferramentas para desenvolvimento de software seguro, incluindo:

• Validação de "input".
• Idiomas de programação segura.
• Auditoria de código usando ferramentas de análise estática.
• Testes de software orientados à segurança.

 

Análise e prevenção de de vulnerabilidades comuns em software, incluindo:

• Injeção (comandos, código, SQL, etc).
• "Buffer overflows".
• Vulnerabilidades específicas a aplicações Web (XSS, CSRF, etc).
• Fluxos e fuga de informação.
• Vulnerabilidades específicas a sistemas concorrentes.

 

Bibliografia Obrigatória

Jonh Viega e Gary McGraw; Building Secure Software: How to Avoid Security Problems the Right Way, Addison-Wesley, 2006. ISBN: 978-0201721522

Bibliografia Complementar

Michael Howard, David LeBlanc; Writing Secure Code, 2nd edition, Microsoft Press, 2004. ISBN: 978-0735617223
Brian Chess, Jacob West; Secure Programming with Static Analysis: Getting Software Security Right with Static Analysis, Addison-Wesley, 2007. ISBN: 978-0321424778
Gary McGraw; Software Security, Building Security In , Addison Wesley, 2006. ISBN: 9780321356703

Métodos de ensino e atividades de aprendizagem

As aulas terão uma componente de exposição e discussão dos tópicos programáticos, e outra componente de r projetos de aplicação dos conceitos e técnicas e experimentação de ferramentas. Será reservada uma ou duas aulas para a apresentação de tópicos explorados pelos estudantes.

Tipo de avaliação

Avaliação distribuída com exame final

Componentes de Avaliação

Designação	Peso (%)
Exame	60,00
Trabalho prático ou de projeto	40,00
Total:	100,00

Componentes de Ocupação

Designação	Tempo (Horas)
Elaboração de projeto	42,00
Frequência das aulas	42,00
Total:	84,00

Obtenção de frequência

N/A

Fórmula de cálculo da classificação final

- Trabalhos práticos  & apresentações (40 %);

- Exame Final (60 % da nota final)