http://repositorio.unb.br/handle/10482/52571| Arquivo | Descrição | Tamanho | Formato | |
|---|---|---|---|---|
| 2024_CarlosEduardoMirandaZottmann_DISSERT.pdf | 13,9 MB | Adobe PDF | Visualizar/Abrir |
| Título: | Proposta de modelo de conformidade sobre as melhores práticas relativas à segurança de cadeias de suprimentos de software |
| Autor(es): | Zottmann, Carlos Eduardo Miranda |
| Orientador(es): | Nunes, Rafael Rabelo |
| Coorientador(es): | Gondim, João José Costa |
| Assunto: | Software - fabricação Cadeia de suprimentos de software Framework |
| Data de publicação: | 9-Out-2025 |
| Data de defesa: | 30-Dez-2024 |
| Referência: | ZOTTMANN, Carlos Eduardo Miranda. Proposta de modelo de conformidade sobre as melhores práticas relativas à segurança de cadeias de suprimentos de software. 2024. 128 f., il. Dissertação (Mestrado Profissional em Engenharia Elétrica) — Universidade de Brasília, Brasília, 2024. |
| Resumo: | O processo atual de produção de softwares é composto pelos esforços de projeto e codificação das equipes de desenvolvimento, complementado pela reutilização intensiva de código elaborado por terceiros, sendo seu processo de implantação ou de publicação para consumo externo automatizado. Essa estrutura é conhecida como cadeia de suprimentos de softwares, que tem sido alvo de ataques cada vez mais frequentes e sofisticados. Boas práticas de segurança relativas ao tema têm sido publicadas, entretanto, sendo uma preocupação recente da indústria e da academia, ainda não há conjunto único de boas práticas reconhecido com padrão de fato. Assim, o trabalho tem por objetivo consolidar as melhores práticas acerca da segurança de cadeias de suprimentos de software e propor um modelo que reúna as recomendações dos principais frameworks voltados ao assunto, baseando-se no método utilizado pelo Center for Internet Security para a realização de comparações entre seus frameworks e outros frameworks semelhantes. Apresenta como principais contribuições uma comparação extensiva entre os principais frameworks voltados à segurança da cadeia de suprimentos de software, com detalhamento em nível de cada um dos controles de segurança recomendados, e seu próprio resultado final, um Modelo de Conformidade estruturado em torno dos pilares da cadeia de suprimentos de software, equivalentes ao código-fonte, dependências de terceiros, ambiente de compilação e ambiente de implantação ou distribuição. O modelo pode ser utilizado tanto para avaliar a conformidade atual dos controles de segurança adotados, como para subsidiar a elaboração de um plano de melhoria destinado a alcançar o nível de segurança desejado pela organização. |
| Abstract: | The current software production process is composed of the design and coding efforts of the development teams, complemented by the intensive reuse of code developed by third parties, and its deployment or publication process for external consumption is automated. This structure is known as the software supply chain, which has been the target of increasingly frequent and sophisticated attacks. Best security practices related to the topic have been published, however, being a recent concern of industry and academia, there is still no single set of best practices recognized as a de facto standard. Thus, this work aims to consolidate the best practices about the security of software supply chains and propose a model that brings together the recommendations of the most significant frameworks on the subject, based on the method used by the Center for Internet Security to make comparisons between its frameworks and other similar frameworks. Presents as main contributions an extensive comparison between the frameworks focused on the security of software supply chains, with a breakdown at the level of each of the recommended security controls, and its own final result, a Compliance Model structured around the pillars of the software supply chain, equivalent to source code, third-party dependencies, build environment, and deployment or distribution environment. The model can be used both to assess the current compliance of the security controls adopted, as well as to subsidize the elaboration of an improvement plan aimed at achieving the level of security desired by the organization. |
| Unidade Acadêmica: | Faculdade de Tecnologia (FT) Departamento de Engenharia Elétrica (FT ENE) |
| Informações adicionais: | Dissertação (mestrado) — Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Elétrica, Programa de Pós-Graduação em Engenharia Elétrica, 2024. |
| Programa de pós-graduação: | Programa de Pós-Graduação em Engenharia Elétrica, Mestrado Profissional |
| Licença: | A concessão da licença deste item refere-se ao termo de autorização impresso assinado pelo autor com as seguintes condições: Na qualidade de titular dos direitos de autor da publicação, autorizo a Universidade de Brasília e o IBICT a disponibilizar por meio dos sites www.unb.br, www.ibict.br, www.ndltd.org sem ressarcimento dos direitos autorais, de acordo com a Lei nº 9610/98, o texto integral da obra supracitada, conforme permissões assinaladas, para fins de leitura, impressão e/ou download, a título de divulgação da produção científica brasileira, a partir desta data. |
| Aparece nas coleções: | Teses, dissertações e produtos pós-doutorado |
Os itens no repositório estão protegidos por copyright, com todos os direitos reservados, salvo quando é indicado o contrário.