Avaliação semântica da integração da gestão de riscos de segurança em documentos de software da administração pública

Dissertação (mestrado)—Universidade de Brasília, Instituto de Ciências Exatas, Departamento de Ciência Da Computação, 2015.

Main Author: Peclat, Rodrigo Nunes
Other Authors: Ramos, Guilherme Novaes
Format: Dissertação
Language: Português
Published: 2015
Subjects:
Online Access: http://repositorio.unb.br/handle/10482/18827
http://dx.doi.org/10.26512/2015.07.D.18827
Tags: Add Tag
No Tags, Be the first to tag this record!
id ir-10482-18827
recordtype dspace
spelling ir-10482-188272019-02-22T16:02:33Z Avaliação semântica da integração da gestão de riscos de segurança em documentos de software da administração pública Peclat, Rodrigo Nunes Ramos, Guilherme Novaes Software - desenvolvimento Mineração de texto Administração pública Segurança da informação Dissertação (mestrado)—Universidade de Brasília, Instituto de Ciências Exatas, Departamento de Ciência Da Computação, 2015. Software seguro é aquele que tem seus riscos de segurança adequadamente geridos. Por recomendação legal, sua produção é um objetivo a ser alcançado pelos seus gestores de tecnologia da informação da Administração Pública Federal (APF). Entretanto, não apenas o governo brasileiro, como também o mercado nacional enfrentam uma escassez de especialistas nesse domínio, que possam fomentar tecnicamente iniciativas obtenção desse tipo de software em suas organizações. Esse fato aliado ao estado atual das técnicas de mineração de texto, particularmente às relacionadas ao processamento de linguagem natural e à classificação multirrótulo, motivam este trabalho no estudo de uma solução que compreenda a semântica de períodos textuais escritos em português e os associe a riscos de segurança previamente definidos, como os do OWASP Top Ten. Busca-se contribuir para a melhoria de editais de licitação de fábricas de software na APF por prover uma opção computacional, às equipes de elaboração e revisão desses documentos, que permita realizar automaticamente avaliações da integração da gestão de riscos de segurança aos métodos descritos nessas especificações. Após estudar essa solução diante de cerca de 120 mil sentenças extraídas de repositórios como OWASP ASVS e termos de referência de aquisições da Administração Pública brasileira, realizouse um survey junto a grupos de engenharia de software e de segurança da informação coletando a avaliação deles sobre uma amostra desses períodos, permitindo a comparação do seu desempenho em relação à opinião especializada por meio de métricas como Precisão, Recall, Perda de Hamming e Previsão de Valores Negativos. Após uma série de modificações sobre essa solução, chega-se uma versão com uma Perda de Hamming significativamente melhor do que a provida pela opinião especializada, bem como com uma capacidade de previsão da ausência de tratamento de risco em sentenças presentes em editais e termos de referência estatisticamente tão boa quanto à dos especialistas envolvidos nesse survey, trazendo assim novas perspectivas para trabalhos futuros no desenvolvimento de uma solução computacional a ser utilizada para a obtenção de software seguro em contratações de fábricas de software. Secure software has its security risks well managed regarding vulnerabilities. IT managers in the Brazilian Federal Public Sector (APF) are legally required to strive for software security. However, only a small number of software security professionals are employed in the technical support for development, maintenance and acquisition of such software in their public organizations. This problem, combined with recent advances in text mining, especially in natural language processing and multi-label classification, motivate this work on research for a computational solution that can understand the semantics of sentences in documents written in Portuguese and connect them to previously defined software security risks, such as OWASP Top Ten. This solution (A2E) can improve the software factories bidding process of the APF by providing the authors and reviewers of technical specifications with a computational tool which can automatically evaluate the integration between security risks management and software processes described in these documents. After applying A2E to more than 120 thousand sentences extracted from OWASP ASVS and past APF specifications, a survey was conducted to compare its performance with the opinion of software engineers and security specialists through objective metrics like Precision, Recall, Hamming Loss and Negative Predictive Values (NPV). A2E’s final version, after a series of improvements in the development process, obtained a significantly better Hamming Loss measure when compared to the specialists’ assessments. Additionally, experiments showed that its NPV is statistically as good as the NPV from the surveyed experts. These results bring interesting new perspectives to future of software security in APF biddings. 2015-12-01T20:46:58Z 2015-12-01T20:46:58Z 2015-12-01T20:46:58Z 2015-07-09 Dissertação PECLAT, Rodrigo Nunes. Avaliação semântica da integração da gestão de riscos de segurança em documentos de software da administração pública. 2015. xv, 110 f., il. Dissertação (Mestrado Profissional em Computação Aplicada)—Universidade de Brasília, Brasília, 2015. http://repositorio.unb.br/handle/10482/18827 http://dx.doi.org/10.26512/2015.07.D.18827 Português Acesso Aberto A concessão da licença deste item refere-se ao termo de autorização impresso assinado pelo autor com as seguintes condições: Na qualidade de titular dos direitos de autor da publicação, autorizo a Universidade de Brasília e o IBICT a disponibilizar por meio dos sites www.bce.unb.br, www.ibict.br, http://hercules.vtls.com/cgi-bin/ndltd/chameleon?lng=pt&skin=ndltd sem ressarcimento dos direitos autorais, de acordo com a Lei nº 9610/98, o texto integral da obra disponibilizada, conforme permissões assinaladas, para fins de leitura, impressão e/ou download, a título de divulgação da produção científica brasileira, a partir desta data. application/pdf
institution REPOSITORIO UNB
collection REPOSITORIO UNB
language Português
topic Software - desenvolvimento
Mineração de texto
Administração pública
Segurança da informação
spellingShingle Software - desenvolvimento
Mineração de texto
Administração pública
Segurança da informação
Peclat, Rodrigo Nunes
Avaliação semântica da integração da gestão de riscos de segurança em documentos de software da administração pública
description Dissertação (mestrado)—Universidade de Brasília, Instituto de Ciências Exatas, Departamento de Ciência Da Computação, 2015.
author2 Ramos, Guilherme Novaes
format Dissertação
author Peclat, Rodrigo Nunes
author_sort Peclat, Rodrigo Nunes
title Avaliação semântica da integração da gestão de riscos de segurança em documentos de software da administração pública
title_short Avaliação semântica da integração da gestão de riscos de segurança em documentos de software da administração pública
title_full Avaliação semântica da integração da gestão de riscos de segurança em documentos de software da administração pública
title_fullStr Avaliação semântica da integração da gestão de riscos de segurança em documentos de software da administração pública
title_full_unstemmed Avaliação semântica da integração da gestão de riscos de segurança em documentos de software da administração pública
title_sort avaliação semântica da integração da gestão de riscos de segurança em documentos de software da administração pública
publishDate 2015
url http://repositorio.unb.br/handle/10482/18827
http://dx.doi.org/10.26512/2015.07.D.18827
_version_ 1641988625687117824
score 13.657419