Aceitação de Critérios de Segurança

Ao final do desenvolvimento e da implementação da aplicação ocorrerá uma fase de testes de aceitação funcional pelo usuário.

O nível de segurança da aplicação agora em fase de entrega deve ser verificada por um processo de testes de avaliação dos controles de segurança que foram adotados, obtendo-se um registro formal de evidências de que os controles funcionarão em caso de ataques.

Os testes de avaliação da segurança podem incluir desde a análise manual de especialistas em segurança, que podem inclusive executar testes de penetração em variados níveis, até passar pela automação de testes de vulnerabilidades pelo uso de mecanismos de testes estáticos e dinâmicos, como o Sistema RedeSegura.

Com certa freqüência aplicações web são construídas a partir de um conjunto complexo de tecnologias adotadas na integração de objetos e módulos diversos, especialmente para criar a interface com o usuário orientando o fluxo do negócio e manuseio dos dados.

Mesmo que a segurança tenha sido considerada desde o inicio do desenvolvimento erros podem ser introduzidos no seu curso de entrega e implementação, o que acaba produzindo brechas na segurança. Verificar o nível de segurança da aplicação web em todo seu ciclo de vida é, portanto, essencial como recomendação de melhor prática.

Para mitigar riscos de ataque recomendamos que o monitoramento de vulnerabilidades seja implementado em todo o ciclo de vida da aplicação web, iniciando com o ciclo de entrega e homologação do desenvolvimento, e seguindo enquanto perdurar o período de sua utilização em produção.