Grupo de trabalho do NCSP dá a conhecer recomendações para software mais seguro

2 abr 2004 16:55

Este artigo tem mais de 20 anos

Certificação para programadores, mais formação académica e melhores práticas são factores críticos para criar software mais seguro, segundo o relatório realizado por um dos cinco grupos de trabalho da National Cyber Security Partnership.

Num relatório de mais de 100 páginas, o grupo de trabalho Security Across the Software Development Life Cycle apresentou as suas primeiras recomendações para a indústria do software no âmbito da National Cyber Security Partnership (NCSP), focando-se em aspectos como a melhoria do processo de formação académica dos programadores.

Para a task force, o governo norte-americano devia introduzir uma cadeira de segurança nos cursos universitários relacionados com o desenvolvimento de software e ao mesmo tempo criar um programa de acreditação para programadores.

Além da componente educacional, as recomendações focaram mais três pontos-chave: o desenvolvimento de melhores práticas ao nível do software, a adopção de 10 princípios para a criação de patches e a adopção de um quadro de incentivos que convença as empresas a adoptarem as recomendações.

O grupo de trabalho propõe a realização de estudos que analisem o processo de desenvolvimento de software de modo a descobrir quais os métodos que conduzem à criação de programas com menos vulnerabilidades. No final, recomenda-se que os processos que originem melhor software sejam ensinados aos programadores e certificados pelo governo.

Entre os 10 princípios para o patching que redigiu, a Security Across the Software Development Life Cycle Task Force indica que as empresas se devem assegurar que os códigos de correcção foram bem testados, são pequenos, fáceis de instalar e reversíveis em caso de problemas.

Criada no final do ano passado, a National Cyber Security Partnership junta peritos norte-americanos na área da segurança do sector privado, público e académico e os cinco grupos de trabalho em que está divida ficaram responsáveis por sugerir - mediante um compromisso estabelecido com o Departamento de Segurança Interna - planos de acção para diferentes sectores críticos.

Dois desses planos foram conhecidos no passado mês de Março (ver Notícias Relacionadas), ao que se junta agora o da Security Across the Software Development Life Cycle Task Force. Os restantes serão apresentados ainda durante o corrente mês.