Dever de casa para Arquitetos: Segurança
Não sei se todos sabem, mas hoje em dia temos mais ameaças de segurança devido a falhas nos processos de TI e aplicativos mal feitos do que devido a erros de browsers ou sistemas operacionais. Não que não existam neles e que estes não tenham impacto grande, mas o número de erros dos aplicativos instalados nas nossas máquinas parece ser muito maior.
Há cerca de 5 anos atrás fiz uma apresentação para fabricantes de softwares falando dos principais problemas de segurança que uma aplicação pode sofrer, como SQL Injection e outros. Lembro-me que, no decorrer da apresentação, para meu espanto, a cada problema que eu mostrava mais apreensão eu via nos rostos da platéia. No final, muitos correram para mim e confessaram que suas aplicações tinham problemas.
Visitando e fazendo revisão de arquitetura e código ao longo dos anos, pude perceber que segurança não é uma preocupação levada a sério. Normalmente ela é considerada apenas no final, quando o custo do refactoring é grande.
Para quem não sabe, a Microsoft tem:
- um site dedicado ao Security Development Lifecycle;
- uma ferramenta para apoio à modelagem de ameaças;
- um guia do Patterns & Practices de segurança;
- um devcenter de segurança;
- o devcenter de Arquitetura brasileiro que tem vários artigos relativos a segurança e identidade;
Este é um tema sério em que todos nós temos que fazer o nosso dever de casa. Nós arquitetos devemos conhecer os principais problemas relativos a segurança e devemos considerar uma metodologia que inclua a segurança do início (design) ao fim (teste e operação).
Você já faz isto hoje?