MSRio.Net

Estamos de volta: MSRio Podcast Ed 7: Certificações!

2009-06-20T18:31:00Z

Após meio ano de ausência, o MSRio Podcast está de volta!

Com Rodrigo Moreira (MSP Lead/Líder MSRio.net) no comando e os comentários do MVP de Windows Desktop Experience Alexandro Prado (Líder MS-InfraRio), estamos de volta com mais uma edição mesa redonda da computação na internet brasileira!

Desta vez, convidamos o MCT Rafael Brunhosa para falar sobre este tema tão importante e atual na carreira de todos que trabalham com TI: Certificações. O que são, como tirar, sua importância, vantagens e ainda algumas polêmicas discussões sobre a falta de ética de alguns profissionais no processo.

Imperdível!

E não esqueça de assinar o nosso RSS. Assim você fica sabendo do lançamento de todas as nossas edições. Para tal, adicione o endereço http://blog.msriodotnet.com/podcasts-only/rss2.aspx no seu FeedReader preferido.

MSRio Podcast 6 Edição: Virtualização!

2008-11-27T11:31:00Z

Após uma longa demora (Justificada, pois estavamos preparando uma edição especial para o blog action day, porém um problema com o nosso convidado, que era a nossa surpresa, fez com que a edição fosse cancelada) chegamos a 6 edição do nosso MSRio Podcast!

Nesta edição, com Rodrigo Moreira (MSP Lead e Líder do MSRio.net) e o MVP Alexandro Prado (Líder do MSInfra-Rio), além das discussões do assunto da semana (Crise Econômica Mundial e Informática, Notícias variadas e novos programas Microsoft), também tivemos um interessante bate-papo sobre um assunto que cada vez mais é realidade no mundo da TI: Virtualização!

Aproveitando o lançamento da edição, também aproveito para agradecer todos os ouvintes que fazem parte da família MSRio.Net, pois chegamos a grande marca de 1200 exibições das nossas até então 5 edições! Uma marca que seria impossível de alcançar se não fosse por vocês.

E você já sabe, caso queira participar do programa com dúvidas, sugestões, ou sendo um participante da edição é só enviar um email para podcast@msinfrario.com!

E não esqueça de assinar o nosso RSS. Assim você fica sabendo do lançamento de todas as nossas edições. Para tal, adicione o endereço http://blog.msriodotnet.com/podcasts-only/rss2.aspx no seu FeedReader preferido.

Blog Action Day 2008 - Nós fazemos parte!

2008-10-09T15:53:00Z

O Blog Action Day é um evento anual, sem fins-lucrativos, que objetiva unir os bloggers, podcasters e videocasters do mundo todo para postar sobre o mesmo assunto, em um mesmo dia. O grande alvo é aumentar a atenção e engatilhar a discussão global sobre o assunto do dia.

Neste ano, a idéia é falar sobre a pobreza e nós não podemos ficar de fora. Portanto, aguardem até o dia 15/10 para ler a nossa opinião sobre o tema, envolvendo obviamente a tecnologia que tanto respiramos.

E veja aqui a lista de quem mais da blogosfera está ligado no Blog Action Day! http://blogactionday.org/en/blogs

MSRio Podcast 5 Edição - ASP.NET AJAX e Silverlight!

2008-10-07T01:04:00Z

Com algum atraso, mas sempre presente, chegamos a nossa 5 edição!

Desta vez, atendendo a inúmeros pedidos, trouxemos direto de Goiânia o MVP Rodrigo Kono e líder do DevGoias para falar sobre as tecnologias que mais andam na moda quando tratamos de desenvolvimento para Web. Kono, que é MVP em ASP.NET e um dos maiores especialistas em tecnologias Web-Microsoft do país, nos proporcionou um divertido e principalmente instrutivo papo sobre Silverlight e ASP.NET AJAX. Como não podia ser diferente, o Podcast também contou com a presença de Rodrigo Moreira, MSP Lead do RJ & ES e Líder do grupo MSRio.Net, além do MVP em Windows Desktop Experience Alexandro Prado, líder do grupo MS-InfraRio.

Edição imperdível!

Links citados na edição:

Blog de Rodrigo Kono: http://kono.spaces.live.com

Artigo sobre ASP.NET AJAX e Update Panel: http://msdn.microsoft.com/pt-br/magazine/cc163413.aspx

Linha de Código:
Silverlight 2: Trabalhando com Web Services
Silverlight 2: Implementando Full Screen Mode (modo tela cheia)
Silverlight 2: Customizando a mensagem de Instalação do plugin

XamlCast:
http://feeds.feedburner.com/~r/xamlcast/~3/186815754/

E não esqueça de assinar o nosso RSS. Assim você fica sabendo do lançamento de todas as nossas edições. Para tal, adicione o endereço http://blog.msriodotnet.com/podcasts-only/rss2.aspx no seu FeedReader preferido.

MSRio Podcast 4a Edição! Notícias diversas e discussão sobre o novo Google Chrome!

2008-09-07T16:12:00Z

Está no ar a 4a Edição do MSRio Podcast, o podcast dos grupos MSRio.net e MS-InfraRio! Nessa edição, tivemos como convidado especial um dos membros do grupo MSRio.net e discutimos sobre as novidades tecnológicas da última semana, em especial um interessantíssimo debate sobre o mundo dos navegadores com a chegada do Google Chrome, imperdível! Confira em:

Para participar do podcast, envie seu email para podcast@msinfrario.com

E não deixe de assinar o rss do Podcast: http://blog.msriodotnet.com/podcasts-only/rss2.aspx

MSRio Podcast: 3 Edição! Tema: Comunidade e Trabalho no Exterior

2008-08-12T07:56:52Z

E chegamos a nossa 3 Edição! Desta vez, além dos apresentadores Rodrigo Moreira (Líder MSRio.net) e MVP Alexandro Prado (Líder do MS-InfraRio), também contamos com Eduardo Bottcher.

Eduardo Bottcher é um profissional envolvido com comunidade Microsoft desde 2005. Atualmente Eduardo trabalha nos EUA, onde continua sendo um membro ativo na comunidade. Nesse PODCast, tivemos um divertido bate-papo sobre como as coisas funcionam na terra do tio Sam fazendo um paralelo sobre como as coisas funcionam por aqui.

Confira em mais essa edição!

Um abraço.

Para participar do podcast, envie seu email para podcast@msinfrario.com

E não deixe de assinar o rss do Podcast: http://blog.msriodotnet.com/podcasts-only/rss2.aspx

MS-Rio Podcast, Edição 2

2008-07-28T13:03:00Z

O Podcast continua em sua 2 edição. Nesta quinzena, convidamos o excelente Igor Humberto (Culminis Speaker, Instrutor, Palestrante e um dos Gurus de TI do Rio de Janeiro) para debater sobre a nova versão do Internet Information Services, o IIS 7. Também contamos com o nosso sempre presente MVP Alexandro Prado e é claro, Rodrigo Moreira, líder do MSRio.net conduzindo o Podcast.

Confira as novidades da TI, do IIS nesse divertido podcast! Atendendo aos pedidos, abaixamos o volume da música de fundo.

Se você quiser participar das próximas edições, não esqueça: Envie o seu áudio, ou texto, com sua pergunta/sugestão/comentário para o email podcast@msinfrario.com

E não deixe de assinar o rss do podcast, no endereço:

http://blog.msriodotnet.com/podcasts-only/rss2.aspx

Discutindo metodologias: SDL x CLASP

2008-07-12T21:41:00Z

Falando em segurança no desenvolvimento de aplicações, é ponto fechado a necessidade de se pensar em segurança a cada fase do desenvolvimento. Pensar em segurança somente na hora de encriptar informações, ou autenticar um usuário, não pode ser considerado como levar segurança a sério.

No contexto mundial atual, onde as aplicações se tornam cada vez mais interconectadas, é importante que todos envolvidos no processo de construção do software estejam alinhados e comprometidos com a segurança, de Gerentes de Projeto até Testadores.

Com o objetivo de formalizar e padronizar as interações dos papéis nos diversos momentos da construção de software, surgiu o conceito de Metodologia de Desenvolvimento Seguro. Na linha das metodologias, quem já foi em minhas palestras ou costuma ler os meus blogs há algum tempo, vai lembrar da metodologia segura desenvolvida e utilizada pela Microsoft, a SDL (Secure Development Lifecycle). Apesar de eficiente e totalmente alinhada com o conceito da Computação Confiável, a SDL não é a única metodologia disponível.

Criada pela OWASP (Open Web Application Security Project), o CLASP (Comprehensive, Lighweight Application Security Process) também é um mundo a ser considerado e é dele que falarei brevemente por aqui.

O CLASP, assim como o SDL, é uma excelente iniciativa, mas se você pensa em comparar "qual é o melhor", com certeza entrará em uma cruzada em direção ao erro. Acontece que as duas metodologias possuem sensíveis diferenças de filosofia e de impactos nos projetos, sendo necessário a avaliação de acordo com a realidade da equipe e dos projetos para que a decisão de adoção de uma das duas (ou uma terceira) seja tomada adequadamente.

A principal diferença entre os dois em meu ver é como as duas se relacionam com a metodologia de desenvolvimento habitual (Seja RUP, seja xP, seja o tão em moda SCRUM). A SDL prega ser, por si só, uma metodologia fechada de desenvolvimento, focado em segurança, exigindo inclusive uma equipe própria, dedicada e não interligada a equipe do desenvolvimento funcional, o que sem dúvidas aumenta o custo do projeto e de gerenciamento de pessoal. Já o CLASP, prega ser um "framework", um conjunto de processos que devem ser inclusos dentro dos processos definidos pela metodologia de desenvolvimento funcional escolhida. Devido a esta característica, o CLASP não exige uma equipe focada somente na segurança do software, possuindo uma tabela "de-para", relacionando quais papéis de sua metodologia se relacionam com quais papéis da metodologia funcional.

Já nessa pequena análise, se faz notório diferenças práticas dos impactos em custo e prazo que as duas metodologias trarão aos seus projetos (pois para ter segurança é necessário um impacto, que deve ser visto como um investimento de retorno garantido). O SDL tende a obter, em um mundo real, resultados mais claros e diretos pelo fato de que os profissionais estarão focados somente na segurança, esquecendo a parte funcional do projeto, porém exigirá um custo alto em contratação e gerência de pessoal. Já o CLASP, é mais viável de utilização em projetos comerciais menores, pois não exige uma nova equipe, o que diminui considerávelmente o custo, mesmo trazendo um impacto maior em prazos.

Para conhecer melhor o CLASP, visite o site da OWASP (www.owasp.org) e encontre a documentação completa da metodologia de desenvolvimento. A leitura dos documentos é importante, pois mesmo que essa não seja a metodologia escolhida, o conhecimento adquirido ao ler os documentos será de grande valia ao profissional.

Ainda com relação ao CLASP, considero que o capítulo 5 da documentação do CLASP é um "must have" para todo profissional, por ser uma documentação extensa e detalhada (mais de 200 páginas) somente de possíveis falhas de segurança, devidamente classificadas.

Por último, devo dizer que o site da OWASP é uma página obrigatória nos favoritos de cada desenvolvedor. O portal possui um excelente projeto de categorização de boas práticas e soluções de segurança no desenvolvimento, em especial para as duas plataformas mais populares do momento: O Java e o .net. Não deixe de passar por lá e de incorporar segurança aos seus projetos. O cliente agradece!

MS-Rio Podcast, Edição N 1!

2008-07-12T15:21:00Z

Há algum tempo atrás, liguei para o Alexandro Prado com uma idéia: Vamos fazer um podcast. A idéia é que em cerca de 40 minutos, a cada 15 dias, possamos nos reunir com pessoas consagradas no mercado de TI e conversar sobre as últimas notícias, além de um interessante debate sobre um tema chave.

Foram algumas semanas pesquisando sobre como fazer as edições de áudio e gravação, mas quando a aparelhagem ficou pronta, o assunto rolou fácil. Alexandro Prado foi o primeiro convidado para falar sobre Windows Vista, que é um de seus assuntos preferidos.

Nas próximas edições, Alexandro Prado se juntará a mim como apresentador do Podcast, enquanto outros convidados se juntarão para o debate.

E não se esqueça, você pode participar do podcast dos nossos grupos! Basta enviar um email para podcast@msinfrario.com com a sua pergunta ou comentário. Caso prefira, pode ainda gravar um arquivo de áudio com a sua participação e nos enviar pelo mesmo endereço. Além disso, você ainda pode ser o nosso convidado especial do debate!

Escute e participe dessa nova era dos grupos de usuários no Rio de Janeiro!

Ah! Só por via das dúvidas: A parte de "mandar beijo" é brincadeira viu? hehehe...

Caso você queira assinar o RSS do PODCast no seu leitor preferido ou iTunes para se manter atualizado a cada edição, o link é http://blog.msriodotnet.com/podcasts-only/rss2.aspx

Reunião Técnica - 26/4/2008

2008-05-05T14:19:00Z

Olá Pessoal,

Conforme anunciamos anteriormente, no dia 26/4 ocorreu a primeira reunião técnica organizada pelo grupo MS-Rio.net, contando com os grupos convidados MS-InfraRio, WITS Brasil e Code4All. O assunto da reunião foi segurança no Windows Vista, numa tentativa de informar e trocar experiências sobre as novas features do polêmico sistema operacional. Como muito tem sido dito de uma maneira geral sobre o sistema, selecionamos os temas mais polêmicos: User Account Control (onde eu palestrei) e Network Access Protection (Palestra do MVP Alexandro Prado). A reunião foi muito proveitosa e tivermos diversas declarações dos membros sobre a reunião.

Abaixo seguem algumas fotos.

Eu palestrando sobre o UAC e o MVP Alexandro Prado assistindo a palestra

MVP Alexandro Prado palestra sobre o NAP.

Carlos, membro do MSRio.Net foi contemplado no sorteio do Windows Vista Business Edition Full que o Rafael Brunhosa (camisa azul na foto) trouxe para nossa reunião.

Nós do MS-Rio.net já estamos organizando uma nova reunião, novamente convidando o pessoal do MS-InfraRio a aparecer e a colaborar
Agradecimentos especiais ao Rafael Brunhosa por ter conseguido o Windows Vista para sorteio.

Um abraço!

Reunião Técnica do Grupo - 26/4/2008

2008-04-11T18:03:00Z

Pessoal,

Dia 26/4 teremos a nossa esperada reunião técnica do grupo MSRio.net (convite extensivo aos membros dos grupos parceiros: WITS Brasil, MSInfra-Rio e Code4All). O tema da nossa reunião será Segurança no Windows Vista. A reunião será composta de 4 sessões técnicas curtas (30 min) apresentadas pelos membros do grupo em cima do tema da Reunião (pessoa interessadas em palestra, favor me enviar um email com o nome e o tema).

Sessões Definidas:

Conhecendo o UAC (User Account Control) e como isso influenciará suas aplicações no Windows Vista - Uma explicação detalhada sobre o funcionamento do polêmico controle de privilégios do Windows Vista junto com as dicas de como proceder com relação ao desenvolvimento de software para o Vista. Palestrante: Rodrigo Moreira, Líder do MSRio.net

Conhecendo o NAP (Network Access Protection). Palestrante: MVP Alexandro Prado, Líder do MSInfra-Rio.

Sessão 3: Vago.

Sessão 4: Vago.

As reuniões técnicas, além do conhecimento técnico, são uma excelente oportunidade para a troca de experiência e network, já que são eventos menos formais onde cada sessão é uma mesa redonda conduzida pelo Palestrante e o debate sobre os temas é aberto para cada participante da reunião.

Local da Reunião:

Av. Pres. Vargas, 642 - Centro - 9 andar, Auditório 1 (Faculdade Estácio de Sá, próxima a Uruguaiana)

Horário: 9 as 11h.

Regards,
Rodrigo Moreira
MCP, MCTS
Microsoft Student Partner Co-Lead
http://jackflashspo t.spaces. live.com
MSRio.Net Lead.

Nova logo finalizada!

2008-04-02T17:19:00Z

Olá pessoal,

Postando rapidamente somente para comentar que nossas novas logos ficaram prontos. Fiquem livres para opinar. Particularmente achei o trabalho do nosso amigo Bruno Amaral muito bem feito, gostei das linhas, gostei das cores: acho que está adequado com as nossas espectativas e necessidades.

Parabéns Bruno!

Novo Logo MSRio.net:

Novo Logo MS-InfraRio:

Vídeos "How Do I" no Security Center da MSDN Americana

2008-03-31T18:26:00Z

Olá pessoal,

Navegando pela internet, encontrei um material de primeira linha sobre segurança de software. O material é uma coleção de vídeos estilo "How do I?" (Na tradução 'Como eu faço?') ensinando diversos aspectos da segurança de software.
Como encriptar, como decriptar, como armazenar chaves de criptografia em containers, repassando credenciais de segurança para WebServices e outros assuntos muito questionados por aí. Confira estes e outros vídeos neste link e aprenda um pouco mais sobre o mundo do desenvolvimento de software seguro.

Att,
Rodrigo Moreira
MCP, MCTS
Microsoft Student Partner Co-Lead
http://jackflashspot.spaces.live.com
Líder do MSRio.Net

Webinario LINQPad disponível para download!

2008-03-04T14:58:00Z

Pessoal,

Uma de nossas parceiras, a editora O'Reilly, realizou recentemente um seminário online sobre a ferramenta gratuita LINQPad com o autor do livro C# 3.0 in a Nutshell, Joseph Albahari. O LINQPad é uma ferramenta muito interessante que tem o objetivo de tornar mais fácil a sua vida na hora de escrever queries em LINQ. A ferramenta, que hoje possui 2MB e é auto-atualizável, suporta os seguintes "sabores" de LINQ:
* LINQ to XML
* LINQ to SQL
* LINQ to Objects

O LINQPad é também uma maneira muito bacana de se aprender as novidades do C# 3.0, já que usa ao extremo as suas novas features. Confira o seminário (43 minutos, 50 MB ) no link a seguir: http://downloads.oreilly.com/oreilly/videos/oreilly-linq-webinar.mov.

Confira também o fórum de discussão do livro C# 3.0 in a Nutshell e esteja preparado para a nova geração de linguages de query!

Hello everyone,

One of our partners, O'Reilly Media, has organized a online seminar about the free tool LINQPad, presented by the author of the C#3.0 in a nutshell book: Joseph Albahari. The LINQPad is a very interesting tool to make your work writing LINQ Queries became easier. The tool, which is self-updating and is under 2MB, supports the following LINQ flavors:
* LINQ to XML
* LINQ to SQL
* LINQ to Objects.

The LINQPad is also a cool way to learn C# 3.0, because it's use a lot of C# 3.0 new features. Download and Watch the webinar (43 minutes, 50MB ) here:
http://downloads.oreilly.com/oreilly/videos/oreilly-linq-webinar.mov

Check it out the discussion forum of C# 3.0 in a Nutshell too, to be READY for the next generation of Query Languages.

My Best Regards,
Rodrigo Moreira
MCP, MCTS
Microsoft Student Partner Co-Lead
http://jackflashspot.spaces.live.com
Líder do MSRio.Net

Abertura de APIs Microsoft pode causar avalanche de bugs?

2008-02-28T14:14:00Z

Nessa semana o Higor Fernandes, membro do MSRio.Net, iniciou uma discussão no grupo sobre o assunto-título desse post. Como minha argumentação sobre o assunto é relativamente grande pra ficar em um email, acabei resolvendo escrever por aqui, sendo assim, vamos lá:

Tudo começou com essa notícia aqui: http://computerworld.uol.com.br/seguranca/2008/02/25/abertura-de-softwares-da-microsoft-pode-causar-avalanche-de-bugs/

Antes de dar a opinião sobre o tema, registro a dica sobre como se ler um artigo e não ser enganado por pessoas mal entendidas do assunto que escrevem bobeira na internet. Acredito que o primeiro ponto a se fazer quando lemos uma declaração é procurar pela credibilidade de quem a declarou e analisando a notíca encontramos que as declarações foram dadas pela nCircle Inc. A nCircle é uma empresa de segurança americana com um enorme background em análise de riscos, sendo assim: eles realmente sabem do que estão falando. Uma outra coisa que eu, como bom paranóico de segurança, me acostumei a fazer nessas notícias foi buscar a fonte real da informação. Como a Computer World é uma revista americana, fui atrás da notícia real que poder ser lida em http://computerworld.com/action/article.do?command=viewArticleBasic&taxonomyName=security&articleId=9064500&taxonomyId=17&intsrc=kc_top.

Pra finalizar e realmente poder opinar sobre o artigo (já que você precisa ter conhecimento do assunto pra isso), é necessário entender a estratégia Open Source da Microsoft. Ao contrário do que tem muito profeta do apocalipse afirmando por aí, a Microsoft não vai virar Open Source da noite pro dia. A liberação das APIs é conseqüência das exigências feitas pela União Européia de quebra de monopólio. Sim, aquelas exigências que levaram a Microsoft a pagar a maior multa de sua história. Sendo assim, não é que a Microsoft quer mudar, mas é que ela não tinha opções. Ou abre a API, ou venda para Americanos e Asiáticos. Como ninguém quer perder o filão europeu (que é o continente mais rico), adapta-se ao mercado.

Outra coisa que é necessário entender é: O que vai ser liberado exatamente? É o código fonte de todos os programas? Nada disso. APIs (Application Programming Interface) são bibliotecas de código fonte de algum programa que estão disponíveis para permitir que outros programas conversem ou utilizem funcionalidades do mesmo. Por exemplo, um Sistema Operacional em sua definição mais acadêmica é uma abstração do hardware, fazendo o papel de intermediário entre o aplicativo (programa) e os componentes físicos do computador (Tannebaum, 1999). Sendo assim quando criamos um programa em .net que cria um arquivo texto em uma pasta qualquer, fazemos isso acessando a API de criação de arquivo do windows. Sendo assim, qual era a grande vantagem de ter as APIs fechadas? Ora. Se só a Microsoft conhece todas as APIs, os softwares Microsoft experimentavam de funcionalidades e integrações entre si que nenhum outro concorrente poderia sonhar em ter. Além disso, depois do Steve Ballmer sair gritando "Developers, Developers, Developers", veja os investimentos da MS na área de desenvolvimento de software. Repare que o ambiente .net oferece uma integração e poder em cima de ambientes Windows que nenhum Java/Python ou seja lá quem for pode se aproximar e essa vantagem se amplia para qualquer ramo de software. Enfim: Para "equalizar o mercado", a UE decidiu proibir essa vantagem comercial para a Microsoft que se viu obrigada a liberar as suas APIs.

Uma outra coisa que aconteceu recentemente e as pessoas se confudem é: A BCL (Base Class Library) do .net framework agora tem o código aberto. Isso não faz parte das imposições da UE. Isso ocorreu como que um presente para os desenvolvedores .net. Mas repare que você não pode editar a BCL, ou coisa do tipo. É Open Source. Não é Software Livre. Então você deve estar se perguntando "se não pode editar, pra que serve essa bagaça?". Simples, facilitar o debug. Ponto. Aumentar o seu conhecimento de como as coisas funcionam internamente. Ponto.

Enfim, uma vez entendida a história das APIs vamos finalmente a análise da segurança. Numa análise óbvia, a partir do momento em que o código fonte está disponível, será mais fácil encontrar bugs sim, porque ao invés de ficar testando por fora, você abre o código fonte e encontra o problema, mas essa análise seria baseada em cima daquele método "nas coxas" de desenvolvimento seguro: "Software Proprietário é mais seguro porque ninguém vê o código fonte" vs "Software Livre é mais seguro porque todo mundo testa, encontra os problemas e resolve melhor" e sobre isso eu já falei na última vez, acho uma grande baboseira, já que o que garante a segurança é um processo conciso de desenvolvimento seguro. Enfim, sempre falamos no mundo de segurança que "Esconder o código fonte nunca é um recurso" e espero que o pessoal da Microsoft tenha seguido isso a risca. Nos últimos anos eles tem desenvolvido os softwares utilizando o SDL (Secure Development Lifecycle) do qual eu sou fã. Se tudo aquilo que eles falaram que fizeram na implementação do SDL foi feito e se tudo o que eles pregam realmente for seguido, disponibilizar o código fonte não será problema porque os bugs foram realmente resolvidos e não "escondidos". Porém, se a coisa não for tão rígida quanto as literaturas sugerem: podemos esperar a chuva dos bugs sim, porque o que estava escondido embaixo do tapete, certamente virá a tona.

Sendo assim concluo que: Confiando no SDL, a chuva de bugs não será grande. Encaro a situação como o grande teste do SDL. Será que ele foi realmente implementado perfeitamente por seus criadores? Ou será que ele não funciona bem com projetos open? Vale lembrar que os autores do SDL sempre identificaram que é muito difícil garantir a segurança de projetos legados e, nas APIs de ferramentas como Windows e Office, podemos ter certeza que projetos legados estão envolvidos neste processo.

Quer fazer parte da lista de discussão do MsRio.net?
Inscreva-se já, enviando o pedido para o email msriodotnet-subscribe@yahoogrupos.com.br
Att,
Rodrigo Moreira
MCP, MCTS
Microsoft Student Partner Co-Lead
http://jackflashspot.spaces.live.com
Líder do MSRio.Net

TANENBAUM, Andrew. Sistemas operacionais modernos. Rio de Janeiro: LTC. 1999.

A Lei de Linus e a Segurança no Desenvolvimento.

2008-02-22T22:15:00Z

Esse artigo é baseado na opinião pessoal do autor sobre o tema, tendo como fonte os artigos e livros citados na referência.

No dia 27 de Maio de 1997, o mundo conheceu o artigo de Eric S. Raymon, entitulado "The Cathedral and The Bazaar", que viria a se tornar uma das tábuas sagradas dos 10 testamentos para o mundo do software livre. Resumindo em uma maneira leviana, o artigo compara dois estilos de desenvolvimento de software: o estilo da Catedral (estilo habitual das empresas) e o estilo do Bazar (estilo habitual do software livre: desenvolvimento do software em sua versão inicial, publicação do código-fonte e evolução do software através de colaborações online). Apesar de o título por si só já ser polêmico o suficiente para causar muita discussão, o artigo também foi responsável pela criação da chamada "Lei de Linus" que dita "Given enough eyeballs, all bugs are shallow" (Raymond 1997). Podemos explicar a lei de Linus, utilizando as próprias palavras do artigo referido em tradução livre:

"Possuindo um número grande o suficiente de beta-testers e co-desenvolvedores, quase a totalidade dos bugs serão caracterizados rapidamente e corrigidos obviamente por alguém" - Lei de Linus

A questão para que eu discorde do uso da Lei de Linus com relação a segurança (Não estou entrando na questão da engenharia em geral) é simples: O artigo de Raymon demonstra que com um número absurdo de pessoas olhando o código fonte, um grande número de erros podem ser encontrados naturalmente e, como os usuários tem acesso ao código-fonte, os erros podem chegar as mãos do programador não só com os sintomas (indicar que em determinada situação um usuário não é cadastrado por exemplo), mas sim com suas as reais causas (como indicar que o usuário não foi cadastrado devido a um problema de constraint no banco de dados), colaborando para a solução quase instantânea do problema, porém ela não conta com o simples fato de quem nem todas as funcionalidades de um sistema serão usadas ao extremo para todos os bugs serem encontrados (lembrando claro da lei 80-20 ou Príncipio de Pareto) e ainda pior: mesmo que os usuários testem a aplicação ao extremo, será que todos eles possuem conhecimento técnico avançado para identificação das vulnerabilidades?

Veja o código abaixo por exemplo (Howard and Lipner, 2006):

<%@ LANGUAGE=VBSCRIPT CODEPAGE =1252%>





<%SendHeader 0,1 %>





<%

'

'

'<!—Copyright (c) Microsoft Corporation 1993-1997. All rights reserved. -->

On Error Resume Next

If Request.QueryString("mode") <> "" Then

Response.Redirect bstrVirtRoot + _

"/inbox/Main_fr.asp?" + Request.QueryString()

End If

%>

Será que qualquer um conseguiria encontrar a vulnerabilidade (Watchfire, 2005)?

Segurança não é mágica e exige esforço. Não basta falar para os desenvolvedores que eles precisam "programar com segurança". Uma das etapas mais importantes em um desenvolvimento seguro é o treinamento de toda a equipe envolvida no projeto.

Referências:
Raymond 1997 - www.catb.org/~esr/writings/cathedral-bazaar
Howard e LeBlanc 2002 - Howard, Michael and David LeBlanc. Writing Secure Code, 1st ed. Redmond, WA: Microsoft Press,2002
Howard e Lipner 2003 - Howard, Michael and Steve Lipner. The Security Development Lifecycle. 1st ed. Redmond, WA: Microsoft Press 2006
Watchfire 2005 - http://www.watchfire.com/news/whitepapers.aspx

Obrigado,
Rodrigo Moreira
MCP, MCTS
Microsoft Student Partner Co-Lead
http://jackflashspot.spaces.live.com
Líder do MSRio.Net

Apresentando o MSRio.net

2008-02-21T01:18:00Z

Trustworthy Computing (Computação Confiável) é o termo usado pela Microsoft para descrever as ações que tem tomado internamente para combater o mal da falta de segurança. Quem não se lembra das piadas antigas sobre como as coisas na Microsoft eram inseguras? Devemos lembrar que um dos frutos dos esforços da TC foi o SQL Server 2005, produto que já está deixando de ser o "top de linha" (com a vinda do SQL Server 2008) e até hoje não teve nenhuma falha de segurança crítica anunciada, ao contrário de seus rivais de mercado.

Analisando desse modo, podemos pensar qual foi o elemento chave para este sucesso e nos atentando um pouco mais veremos que a grande questão é: Segurança não é algo implícito em um projeto. É algo que necessita de atenção, especificação. É algo que possui um custo específico e que não pode ser tratado como periférico. Segundo Michael Howard (Sênior Software Security Expert da Microsoft) é aí que reside o segredo da melhora nos softwares da Microsoft.

E sobre o nosso dia a dia? Será que somente os programadores das grandes companhias cometem erros? Será que somente os grandes datacenters possuem falhas de segurança? Ou será que nós mesmos não procuramos as falhas embaixo dos nossos narizes?

É com esse pensamento que surge o MSRio.Net. Um grupo de estudos focado em aprimorar o conhecimento sobre Segurança (principalmente de software) para que possamos fazer do mundo da computação, um ambiente mais confiável. Falhas de segurança, metodologias de desenvolvimento seguro, artigos e quaisquer outros assuntos relacionados serão o nosso dia-a-dia do grupo.

Seja bem vindo, e que possamos aprender juntos.

Obrigado,

Rodrigo Moreira

MCP, MCTS

Microsoft Student Partner Co-Lead

http://jackflashspot.spaces.live.com

Líder do MSRio.Net