Termo de Referência. Aquisição de Ferramenta de Análise Estática e Dinâmica de Segurança de Aplicações

Transcrição

1 Termo de Referência Aquisição de Ferramenta de Análise Estática e Dinâmica de Segurança de Aplicações Termo de Referência Aquisição de Ferramenta de Análise Estática e Dinâmica de Segurança de Aplicações

2 Termo de Referência Aquisição de Ferramenta de Análise Estática e Dinâmica de Segurança de Aplicações Coordenação de Segurança de Sistemas COSS Equipe Responsável Elaboração Assinatura Data Aprovação Motivada Considerando que o Termo de Referência elaborado se apresenta de forma conveniente e oportuna para atender a demanda exposta na SC / 2012, aprovo este Termo. Os elementos para que as empresas especifiquem seus preços estão no Termo de Referência e o valor da estimativa será incluído oportunamente no processo, após pesquisa ao mercado pela área técnica competente. Assinatura Data Coordenação Geral de Segurança de Informações CGSI Termo de Referência Aquisição de Ferramenta de Análise Estática e Dinâmica de Segurança de Aplicações 2/14

3 HISTÓRICO DE REVISÕES DATA VERSÃO DESCRIÇÃO AUTOR 03/09/ Criação Yuri Feitosa Negócio 04/09/ Ajustes Yuri Feitosa Negócio Lei nº 8.666/93, de 21 de junho de Regulamenta o art. 37, inciso XXI, da Constituição Federal, institui normas para licitações e contratos da Administração Pública e dá outras providências. Art. 6 o Para os fins desta Lei, considera-se:... IX - Projeto Básico - conjunto de elementos necessários e suficientes, com nível de precisão adequado, para caracterizar a obra ou serviço, ou complexo de obras ou serviços objeto da licitação, elaborado com base nas indicações dos estudos técnicos preliminares, que assegurem a viabilidade técnica e o adequado tratamento do impacto ambiental do empreendimento, e que possibilite a avaliação do custo da obra e a definição dos métodos e do prazo de execução, devendo conter os seguintes elementos: a) desenvolvimento da solução escolhida de forma a fornecer visão global da obra e identificar todos os seus elementos constitutivos com clareza; b) soluções técnicas globais e localizadas, suficientemente detalhadas, de forma a minimizar a necessidade de reformulação ou de variantes durante as fases de elaboração do projeto executivo e de realização das obras e montagem; c) identificação dos tipos de serviços a executar e de materiais e equipamentos a incorporar à obra, bem como suas especificações que assegurem os melhores resultados para o empreendimento, sem frustrar o caráter competitivo para a sua execução; d) informações que possibilitem o estudo e a dedução de métodos construtivos, instalações provisórias e condições organizacionais para a obra, sem frustrar o caráter competitivo para a sua execução; e) subsídios para montagem do plano de licitação e gestão da obra, compreendendo a sua programação, a estratégia de suprimentos, as normas de fiscalização e outros dados necessários em cada caso; f) orçamento detalhado do custo global da obra, fundamentado em quantitativos de serviços e fornecimentos propriamente avaliados; Decreto nº 3.555, de 8 de agosto de Art. 8º A fase preparatória do pregão observará as seguintes regras: Aprova o Regulamento para a modalidade de licitação denominada pregão, para aquisição de bens e serviços comuns. I - a definição do objeto deverá ser precisa, suficiente e clara, vedadas especificações que, por excessivas, irrelevantes ou desnecessárias, limitem ou frustrem a competição ou a realização do fornecimento, devendo estar refletida no termo de referência; II - o Termo de Referência é o documento que deverá conter elementos capazes de propiciar a avaliação do custo pela Administração, diante de orçamento detalhado, considerando os preços praticados no mercado, a definição dos métodos, a estratégia de suprimento e o prazo de execução do contrato; Decreto nº 5.450, de 31 de maio de Art.9º Na fase preparatória do pregão, na forma eletrônica, será observado o seguinte: Regulamenta o pregão, na forma eletrônica, para aquisição de bens e serviços comuns, e dá outras providências. I - elaboração de termo de referência pelo órgão requisitante, com indicação do objeto de forma precisa, suficiente e clara, vedadas especificações que, por excessivas, irrelevantes ou desnecessárias, limitem ou frustrem a competição ou sua realização; 2º O termo de referência é o documento que deverá conter elementos capazes de propiciar avaliação do custo pela administração diante de orçamento detalhado, definição dos métodos, estratégia de suprimento, valor estimado em planilhas de acordo com o preço de mercado, cronograma físicofinanceiro, se for o caso, critério de aceitação do objeto, deveres do contratado e do contratante, procedimentos de fiscalização e gerenciamento do contrato, prazo de execução e sanções, de forma clara, concisa e objetiva. Termo de Referência Aquisição de Ferramenta de Análise Estática e Dinâmica de Segurança de Aplicações 3/14

4 Termo de Referência 1 OBJETO Aquisição de 500 licenças de uso para uma ferramenta de análise estática e dinâmica de segurança de aplicações, por meio de Ata de Registro de Preços. A Ata de Registro de Preços terá validade de 12 (doze) meses, podendo ser prorrogada, nos termos do parágrafo 2º, art. 4º, do Decreto nº 3.931/2001. ITEM OBJETO QUANTIDADE TOTAL PEDIDO INICIAL 1 Licenças de uso da ferramenta de análise estática e dinâmica de segurança de aplicações PRAZO E LOCAL DE ENTREGA 2.1 A entrega do software e das licenças deverá ocorrer em até 15 (quinze) dias corridos, contados a partir da data da assinatura do Contrato / Pedido de Compras. 2.2 Local de entrega: SAS, Quadra 01, Bloco E Brasília DF CEP: Tel.: (61) GARANTIA 3.1 O prazo de garantia dos software será de 12 (doze) meses, contados a partir da data de emissão do Termo de Aceite. 3.2 A contratada deverá informar o endereço, telefone, fax/ e contato do responsável pelo atendimento em garantia, manifestando claramente o credenciamento da referida empresa. 4 FORMA DE ATENDIMENTO / ABERTURA DE CHAMADOS 4.1 Procedimento para abertura/registro de chamados: Website / / Telefone, com registro da Data / Hora / Descrição da ocorrência / Identificação do Solicitante / Atendente. No caso de ligações telefônicas, estas deverão ser com tarifa local ou gratuita. 4.2 Horário para registro de chamados: Horário comercial (08:00h às 18:00h), de segunda à sexta-feira, exceto os feriados. Termo de Referência Aquisição de Ferramenta de Análise Estática e Dinâmica de Segurança de Aplicações 4/14

5 4.3 Horário para atendimento dos chamados : Horário comercial (08:00h às 18:00h), de segunda à sexta-feira, exceto os feriados. 5 FATURAMENTO 5.1 Conforme entrega. 5.2 As notas fiscais deverão ser enviadas para a Unidade Central de Recebimento - UCR, localizada à Setor de Autarquias Sul - SAS, Quadra 01, Bloco E Brasília DF - CEP: PAGAMENTO Conforme Edital. 7 PENALIDADES 7.1 Pelo descumprimento dos prazos relacionados à entrega dos software, será aplicada multa à razão de 1% (um por cento) do valor total do contrato, por dia de atraso, limitado ao teto de 10% (dez por cento). 8 GESTÃO CONTRATUAL Gestor: Tel.: (48) Fiscal: Empregado(a): Solange Silva Adolfo Tel.: (61) Termo de Referência Aquisição de Ferramenta de Análise Estática e Dinâmica de Segurança de Aplicações 5/14

6 9 PLANILHA DE ORÇAMENTO ITEM OBJETO QUANT. VALOR UNITÁRIO VALOR TOTAL 1 Licenças de uso da ferramenta de análise estática e dinâmica de segurança de aplicações. 500 R$ R$ TOTAL GERAL R$ 10 ANEXOS Especificações Técnicas; Habilitação Básica; Termo de Referência Aquisição de Ferramenta de Análise Estática e Dinâmica de Segurança de Aplicações 6/14

7 ANEXOS Aquisição de Ferramenta de Análise Estática e Dinâmica de Segurança de Aplicações 1 ESPECIFICAÇÕES TÉCNICAS 1.1 Requisitos Gerais A ferramenta deve permitir execução de análise estática de segurança em código-fonte (caixa branca) e análise dinâmica (caixa preta) de segurança de aplicações; A ferramenta deve ser capaz de correlacionar de forma automática os resultados da análise estática e a análise dinâmica (análise integrada); A ferramenta deve estar disponível nos idiomas Inglês (EN) ou Português do Brasil (PT-BR); A ferramenta deve suportar o modelo de implantação centralizado (Um servidor para gerenciar todas as análises) e distribuído (Um plugin para a IDE do desenvolvedor para a execução da análise em tempo de desenvolvimento); A ferramenta deverá ser compatível para instalação e funcionamento de forma nativa nas plataformas Windows XP (32 e 64 bits), Windows Vista (32 e 64 bits), Windows 7 (32 e 64 bits), Ubuntu Linux (32 e 64 bits) e Fedora Linux (32 e 64 bits); Caso a ferramenta seja executada sobre a plataforma Java, deve ser compatível com o JRE (Java Runtime Enviroment) versão 1.5 e superiores; Deve permitir integração com as ferramentas de automação de build Ant (1.7 e superiores) e Maven (2 e superiores) e execução automática de análise estática de segurança em código sempre que uma nova build for lançada; Deve permitir integração com ferramentas de integração contínua como o Hudson/Jenkins (2.2.0 e superiores); Deve permitir integração com as ferramentas de controle de versões: CVS, Subversion, GIT e Starteam; Deve permitir para a autenticação e autorização a integração com o padrão LDAP v3; A ferramenta deve fornecer informações sobre as vulnerabilidades encontradas e fornecer uma guia de instruções para correção da causa raiz na linguagem de programação utilizada; Deve permitir adicionar anotações às vulnerabilidades identificadas, permitindo atribuí-las a um desenvolvedor responsável pela correção via Termo de Referência Aquisição de Ferramenta de Análise Estática e Dinâmica de Segurança de Aplicações 7/14

8 ou através de integração com a ferramenta de rastreamento de defeitos (bug tracking) ou de gestão de mudanças; A ferramenta deve possuir uma base de regras de vulnerabilidades customizável em um repositório central, permitindo alteração das regras existentes e inclusão de novas regras; Caso o repositório central de informações da ferramenta necessite de um SGBDs (Sistema Gerenciador de Banco de Dados) para implantação, os SGBDs livres PostgreSQL (8.0 e superiores) e/ou MySQL (5.0 e superiores) devem ser suportados; A inclusão e alteração das regras deve ser feita de forma totalmente visual, sem necessidade de codificação ou scripting. Para cada uma das regras, deve ser possível customizar a criticidade das vulnerabilidades associadas; A base de regras de vulnerabilidades deve ser atualizada em tempo real quando disponibilizada um novo conjunto de regras; A atualização da base de regras deve ser períodica, com o intervalo de no máximo 3 meses; A ferramenta deve classificar as vulnerabilidades identificadas por criticidade, priorizando aquelas que tenham uma maior criticidade; A ferramenta deve fornecer APIs de customização que permitam realizar integração com ferramenta de rastreamento de defeitos (bug tracking) e/ou gestão de mudanças; A ferramenta deve fornecer um mecanismo que permita realizar o tratamento de falsos positivos. Desta forma, deve ser possível tratar um contexto específico de vulnerabilidade que resultou um falso positivo para que não haja a recorrência do mesmo; A ferramenta deve manter um histórico de execução de análise de segurança de aplicações por versão do sistema. Deve ser capaz de demonstrar a evolução de vulnerabilidades entre versões, detalhando as vulnerabilidades que foram inseridas / removidas de uma versão para outra; Deve permitir a impressão de relatórios de vulnerabilidades encontradas em uma dada versão do sistema. Também deve emitir relatórios de evolução de vulnerabilidades entre versões de um sistema. Os relatórios gerados pela ferramenta devem poder ser filtrados ou agrupados por criticidade das vulnerabilidades; Deve gerar relatórios de conformidade com os padrões CWE/SANS Top 25 (versão 2011 e mais recentes) e OWASP Top 10 (versão 2010 e mais recentes); A ferramenta deve disponibilizar uma forma de customizar a formatação dos relatórios fornecidos para permitir adequação do leiaute às necessidades da Dataprev; 1.2 Requisitos Análise Estática de Código Fonte Termo de Referência Aquisição de Ferramenta de Análise Estática e Dinâmica de Segurança de Aplicações 8/14

9 1.2.1 Deve suportar análise estática de segurança nas linguagens Java (1.4, 1.5, 1.6, 1.7 e superiores), ASP 3.0, PHP (4.0 e superiores), ASP.NET e C#; Suporte a frameworks JAVA JSF (1.2/2.0 e superiores), Struts (1.2 e superiores), Spring MVC e, Webflow (2.5 e superiores), EJB (2.1, 3.0 e superiores), Hibernate (3.0 e superiores), JPA (1.0/2.0 e superiores) JAX- WS (2.0 e superiores), REST-WS, XML, Apache CXF (2.0 e superiores); Deve permitir integração com as IDE's Eclipse (3.4, 3.5, 3.6, 3.7 e superiores) para execução execução de análise estática diretamente a partir da IDE; Na IDE deve permitir navegação sobre as vulnerabilidades identificadas na análise estática e acesso direto às linhas de código vulneráveis; Deve ser capaz de notificar a execução da análise estática por um usuário para um servidor central de gestão; Deve permitir a integração com a ferramenta de qualidade de código SONAR (3.0 e superiores); O tempo necessário para realizar uma análise estática de código fonte não pode ultrapassar de uma hora para um projeto com linhas de código-fonte em um único host; 1.3 Requisitos Análise Dinâmica Deve suportar os seguintes protocolos HTTP 1.0/1.1, SSL/TLS, HTTP Keep-Alive, HTTP Compression; Deve suportar a configuração do HTTP User Agent para as requisições; Deve suportar o uso de proxy's HTTP 1.0/1.1, Socks 4/5, como também arquivos de configuração automática de proxy (PAC); Deve suportar os formatos de autenticação Basic, Digest, HTTP Negotiate (NTLM e Kerberos), HTML Form Based (Automático, Baseado em Script e Manual), Single Sign On (CAS 2, OPENID, OAUTH 1/2, SAML 1/2), Certificados SSL Cliente (Autenticação Mútua) e implementações customizadas; Na autenticação HTML Form Based Manual deve ser possível a intervenção humana enquanto a avaliação está sendo realizada para fornecer dados impossíveis de serem gerados como a solução de um captcha ou a inserção de um token com certificado digital; A ferramenta deve suportar o gerenciamento do ciclo de vida de uma aplicação web. Identificando quando uma nova sessão deve ser criada, atualizando a sessão quando for instruída pela aplicação, detectando e readquirindo uma novo token de sessão quando a sessão for expirada pela aplicação; Deve suportar o gerenciamento de sessão via HTTP Cookies (RFC 2965), HTTP Parameters e HTTP URL Path; Termo de Referência Aquisição de Ferramenta de Análise Estática e Dinâmica de Segurança de Aplicações 9/14

10 1.3.8 A ferramenta deve suportar a configuração do tipo de gerenciamento de sessão, seja via, detecção e atualização automática de sessão, ou via configuração manual do usuário; A ferramenta deve suportar a configuração da política de renovação de sessão, considerando os tipos: Valor de token de sessão fixo, Valor de token de sessão fornecido pela autenticação e Valor de token de sessão dinâmico; O robô (Crawler) da ferramenta deve suportar: a configuração da URL inicial de busca; a definição de múltiplos hostnames ou IP's; a definição de exclusão por hostnames ou IP's, Padrões de URL's via REGEX, extensões específicas e parâmetros especificos; A ferramenta deve ser capaz de limitar a quantidade de requisições redundantes. Uma aplicação pode ter várias páginas iguais com conteúdos como imagens, textos diferentes; A ferramenta deve ser capaz de suportar o uso de sessões múltiplas simultâneas, incluindo o suporte a múltiplo logins; A ferramenta deve ser capaz de configurar o atraso (delay) para a sequência de requisições; A ferramenta deve ser capaz de configurar a profundidade (depth) máxima da captura de páginas pelo robô (Crawler); A ferramenta deve ser capaz de suportar um modo de aprendizado. O proceso de aprendizado envolve um uso manual de um navegador (browser) por um usuário, sendo que para cada página válida acessada e entradas de dados do usuário são armazenada para uso posterior na análise; A ferramenta deve suportar a identificação de novos hostnames ou IP's, fora do escopo de busca inicialmente configurado; A ferramenta deve suportar o envio automático de formulários; A ferramenta deve suportar a identificação de páginas de erro tradicionais e customizadas; A ferramenta deve suportar o redirecionamento via HTTP Redirects (Código 301, 302, 303 e 307), Meta Refresh Redirect e Javascript Redirect; A ferramenta deve suportar a identificação e ciclo de vida de HTTP Cookies (criação, alteração e destruição); A ferramenta deve suportar AJAX, identificando e registrando as requisições XMLHttpRequest; A ferramenta deve suportar a interpretação dos tipos conteúdo: HTML, XHTML, Javascript, XML, VBScript, XML, JSON, Plaintext, ActiveX Object, Java Applet Object, Flash e CSS; Termo de Referência Aquisição de Ferramenta de Análise Estática e Dinâmica de Segurança de Aplicações 10/14

11 A ferramenta deve suportar os conteúdos codificado em: UTF-8, ISO , UTF-7 e UTF-16; A ferramenta deve ser tolerante a falhas, caso um determinado conteúdo esteja mal formatado, ela deve ser capaz de interpretar a parte legível deste conteúdo; O tempo necessário para realizar uma análise dinâmica não pode ultrapassar de 2 horas para um projeto com requisições em um único host; 1.4 Capacidade de Testes Deve permitir no mínimo a identificação de TODAS as vulnerabilidades descritas nos próximos subtópicos via análise estática e dinâmica de segurança de aplicações Injeção de SQL (CWE 89, OWASP A1); Injeção de Comandos do Sistema Operacional (CWE 78, OWASP A1); Buffer Overflow Clássico (CWE 120); Cross Site Scripting XSS (Persistente, Refletido e DOM) (CWE 79, OWASP A2); Autenticação Insuficiente (CWE 306, OWASP A3); Autorização Insuficiente (CWE 862, OWASP A4); Uso de Credenciais Fixas (CWE 798, OWASP A3); Criptografia de dados sensíveis insuficiente (CWE 311, OWASP A9); Envio irrestrito de arquivos com tipos perigosos (CWE 434, OWASP A4); Confiança em dados não confiáveis para uma decisão de segurança (CWE 807 ); Execução com privilégios desnecessários (CWE 250, OWASP A6); Cross Site Request Forgery - CSRF (CWE 352, OWASP A5); Limitação imprópria de um caminho para um diretório restrito Path Transversal (CWE 22, OWASP A4); Download de código sem verificação de integridade (CWE 494 ); Autorização Incorreta (CWE 863, OWASP A4); Inclusão de funcionalidades de entidades externas não confiáveis (CWE 829, OWASP A4); Atribuição de permissão de acesso incorreta para um recurso crítico (CWE 732, OWASP A6); Uso de funções potencialmente perigosas (CWE 676); Uso de algoritmos criptográficos inseguros (CWE 327, OWASP A7); Cálculo incorreto de tamanho de buffer (CWE 131 ); Termo de Referência Aquisição de Ferramenta de Análise Estática e Dinâmica de Segurança de Aplicações 11/14

12 Restrição insuficiente de tentativas de autenticação (CWE 307, OWASP A3); Redirecionamento não confiável (CWE 601, OWASP A10); Formato de String não controlado (CWE 134); Sobrecarga de inteiros (CWE 190 ); Uso inadequado de funções hash (CWE 759, OWASP A7); Injeção de LDAP (CWE 90, OWASP A1); Injeção de XML (CWE 91, OWASP A1); Injeção XPath (CWE 643, OWASP A1); Injeção XQuery (CWE 652, OWASP A1); Injeção Null Byte (CWE 158, OWASP A1); HTTP Request Splitting (CWE 93); HTTP Response Splitting (CWE 113); HTTP Request Smuggling (CWE 444); HTTP Response Smuggling (CWE 436); Localização de Recurso Predizível (CWE 425, OWASP A7); Fixação de Sessão Session Fixation (CWE 384, OWASP A3); Força Bruta (CWE 330, 331, 340, OWASP A7); Configuração inadequada do servidor e aplicação (CWE 16, OWASP A6); Expiração de sessão insuficiente (CWE 613, OWASP A3); Indexação de Diretório (CWE 548); Proteção insuficiente da camada de transporte (CWE 311, OWASP A9); 1.5 Licenciamento Para funcionar em sua plenitude, a ferramenta não deve depender de nenhum ativo de software de terceiros que acarrete em ônus de aquisição licença pela Dataprev; Em caso de descontinuidade da ferramenta por parte do fornecedor, a documentação e código-fonte da última versão do produto devem ser liberadas para a Dataprev; O fornecedor compromete-se a liberar as atualizações e correções da ferramenta e da base de regras a partir da data de aceite da ferramenta pela área técnica responsável A ferramenta não deve limitar o número de linhas de código fonte (LoC) analisadas; A ferramenta não deve restringir o número de urls analisadas. Termo de Referência Aquisição de Ferramenta de Análise Estática e Dinâmica de Segurança de Aplicações 12/14

13 1.5.6 A ferramenta deve possibilitar a gestão de um número ilimitados de projetos; Termo de Referência Aquisição de Ferramenta de Análise Estática e Dinâmica de Segurança de Aplicações 13/14

14 2 HABILITAÇÃO BÁSICA Atestado de capacidade técnica em nome da proponente, em original ou cópia autenticada, firmado em papel timbrado do emitente, fornecido por pessoas jurídicas de direito público ou privado, comprovando o perfeito cumprimento das obrigações relativas ao fornecimento de dispositivos semelhantes ao objeto deste certame. 3 AVALIAÇÃO TÉCNICA De forma a subsidiar futuro parecer técnico em relação às propostas apresentadas por ocasião da realização da licitação, solicitamos que sejam adotadas as medidas necessárias para inclusão, no futuro edital, da cláusula descrita abaixo. "DA ACEITAÇÃO E JULGAMENTO DA PROPOSTA DE PREÇOS" "A proponente detentora da melhor oferta deverá disponibilizar, no prazo máximo de até 05 (cinco) dias a partir da solicitação formal da Dataprev, uma amostra do produto contratado, objetivando a verificação da sua conformidade com os requisitos da especificação técnica constante do Edital, no quantitativo de 05 (cinco) unidades. Deverá ser fornecida juntamente com a amostra, 01 (uma) mídia (CD/DVD-ROM) contendo os drivers e/ou programas necessários à utilização da ferramenta de análise estática e dinâmica de segurança de aplicações, após a qual a Dataprev se manifestará formalmente sobre o aceite técnico da amostra, sem prejuízo dos testes para verificação da conformidade a serem realizados por ocasião da entrega total do software, para fins de lavramento do Termo de Aceite, após a assinatura do futuro contrato. Local de entrega da amostra: SAS, Quadra 01, Bloco E Brasília DF CEP: Tel.: (61) Todos os custos decorrentes do envio / retirada da referida amostra, correrão por conta exclusiva da proponente." Termo de Referência Aquisição de Ferramenta de Análise Estática e Dinâmica de Segurança de Aplicações 14/14