SlideShare une entreprise Scribd logo

DevSecOps Segurança em pipeline contínuo

Télécharger en tant que PPTX, PDF
Endrigo Antonini
Endrigo Antonini

O documento discute a importância da abordagem DevSecOps para integração da segurança no desenvolvimento contínuo. Apresenta os benefícios de automatizar validações de segurança e reduzir o tempo para correção de vulnerabilidades. Também discute a necessidade de apoio da equipe de segurança, treinamento das equipes de desenvolvimento e padronização dos processos de segurança.

Technologie
1  sur  31
DEVSECOPS Segurança em um pipeline contínuo
Quem sou +10 anos atuando em desenvolvimento +8 anos atuando em segurança Certificados: • Java Associate e Programmer - Sun • Secure Programming Foundation - EXIN • Certified Secure Software Lifecycle Professional (CSSLP) - (ISC)2
Aviso Legal • Todas as opiniões aqui expressas são pessoais e não representam a opinião de meus empregadores. • Todos os exemplos aqui expostos são com base em laboratórios e estudos pessoais.
“Um software que é seguro vai adicionar qualidade ao produto, mas o inverso não é verdadeiro!” PAUL, Mano - Official (ISC)2 Guide to the CSSLP CBK - 2013
Antes de falar de DevSecOps
DevOps
Porque DevOps? • Resolução de conflito • Entre desenvolvimento e operações • Patrick Debois - 2008
Base do DevOps • Cultura/Maturidade • Automação • Integração • Indicadores •Limitar o work in progress •Aumentar o feedback •Tornar o feedback constante •Eliminar retrabalho
E qual o problema? • Coisas inseguras sendo entregues mais rápidas • Áreas de segurança tendem a se tornar gargalo em processos de avaliação • Time to Market
Como tornar seguro?
Fatores históricos de segurança • Foco em redes • Era visto como um componente a ser plugado no final • Problema de performance • “custos desnecessários” • Gargalo em validações • Segurança vs Usabilidade
Outros fatos relevantes • 2 em cada 3 aplicações falhariam em validações da OWASP TOP 10 e/ou SANS 25 1 • 44% das falhas de software nunca são corrigidas 1 1 State of Software Security – Volume 10 - Veracode
Custo de correção
Fonte: Checkmarx – Security Testing in SDLC
É importante conhecer a empresa
Apetite ao risco • Linguagem única de risco para a empresa • Qual o Impacto da aplicação no negócio? • Qual a Probabilidade de o risco se materializar? • Quais os planos mitigatórios? • Quem tem papel decisório quanto a risco e qual a alçada?
Conhecimento • Conhecer a equipe • Tecnologias • Ferramentas • Processos • Recursos disponíveis
Vantagens do DevSecOps?
Ganhos com DevSecOps 68 19 10 20 30 40 50 60 70 12 260 Diasparacorrigir Frequência de Scans ao ano X Tempo de correção Scans Fonte: State of Software Security – Volume 10 - Veracode
Static Analysis (IDE) Code Review Static Analysis Break build Abuse case test Compliance Validation Logs Audit Threat Intelligence Incident Management Threat Model Continuous Monitoring
E por onde começo?
Plano de ação • Apoio da equipe de Segurança • Equipes precisa ter treinamento de segurança • Automatizar • Padronizar • SSL Approatch - Shifting Security Left • Verifique as dependências • Aprenda sobre o “outro lado da moeda”
Pesquise e estude sobre • Application Security (App Sec) • SDLC, SSDLC • OWASP TOP 10 • DEVSECOPS • Protocolos utilizados (HTTP, TLS...)
Risk & Compliance Risk Assessment & Visibility Security Ratings Pen Testing& Breach Simulation GRC Security Awareness& Training Identity & AccessManagement Identity Governance Consumer Identity IDaaS Security Incident Response Security Analytics Security Operations& Incident Response SIEM Digital Risk Management Cloud Security Infrastructure CASB Container Threat Intelligence MSSP Traditional MSSP Advanced MSS& MDR Mobile Security Encryption DLP Data Privacy Data Centric Security Data Security Application Security WAF& Application Security Application Security Testing Web Security Advanced Threat Protection NAC ICS+ OT Network Analysis& Forensics SDN DDoSProtection DNSSecurity Network Firewall Deception Network & Infrastructure Security Privileged Management Authentication Endpoint Security Endpoint Prevention Endpoint Detection & Response Vicarius 2020 Blockchain Fraud & Transaction Security IoT IoT Devices Connected Home Automotive Security Consulting& Services MessagingSecurity
Application Security WAF& Application Security Application Security Testing Endpoint Security Endpoint Prevention Endpoint Detection & Response Vicarius Web Security Endpoint Security Endpoint Prevention Endpoint Detection & Response
Perguntas e Respostas
Obrigado Endrigo Antonini https://www.linkedin.com/in/endrigoantonini/
Referências • Official (ISC)2 Guide to the CSSLP CBK ((ISC)2 Press) - https://www.amazon.com.br/dp/B00EYLMBHQ • OWASP - https://owasp.org/ • Injecting the Sec into DevSecOps - https://medium.com/@mdkail/injecting-the- sec-into-devsecops-1d752788a24 • Veracode State of Software Security X - http://veracode.com/state-of-software- security-report • DevSecOps: Integrando Segurança no Processo de Desenvolvimento - https://www.youtube.com/watch?v=WgfiEyzfAlI

Recommandé

Segurança no Desenvolvimento de Software
Segurança no Desenvolvimento de SoftwareSegurança no Desenvolvimento de Software
Segurança no Desenvolvimento de SoftwareMarcelo Fleury
 
Entendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento SeguroEntendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento SeguroKleitor Franklint Correa Araujo
 
Desenvolvimento Seguro- 2011
Desenvolvimento Seguro- 2011Desenvolvimento Seguro- 2011
Desenvolvimento Seguro- 2011Kleitor Franklint Correa Araujo
 
Segurança em Desenvolvimento de Software
Segurança em Desenvolvimento de SoftwareSegurança em Desenvolvimento de Software
Segurança em Desenvolvimento de SoftwareConviso Application Security
 
Segurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwaresSegurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwaresLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408Conviso Application Security
 
DevSecOps - Workshop do Bem
DevSecOps - Workshop do BemDevSecOps - Workshop do Bem
DevSecOps - Workshop do BemBruno Dantas
 
Segurança em desenvolvimento de software
Segurança em desenvolvimento de softwareSegurança em desenvolvimento de software
Segurança em desenvolvimento de softwareJeronimo Zucco
 

Recommandé

Segurança no Desenvolvimento de Software
Segurança no Desenvolvimento de SoftwareSegurança no Desenvolvimento de Software
Segurança no Desenvolvimento de SoftwareMarcelo Fleury
 
Entendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento SeguroEntendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento SeguroKleitor Franklint Correa Araujo
 
Desenvolvimento Seguro- 2011
Desenvolvimento Seguro- 2011Desenvolvimento Seguro- 2011
Desenvolvimento Seguro- 2011Kleitor Franklint Correa Araujo
 
Segurança em Desenvolvimento de Software
Segurança em Desenvolvimento de SoftwareSegurança em Desenvolvimento de Software
Segurança em Desenvolvimento de SoftwareConviso Application Security
 
Segurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwaresSegurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwaresLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408Conviso Application Security
 
DevSecOps - Workshop do Bem
DevSecOps - Workshop do BemDevSecOps - Workshop do Bem
DevSecOps - Workshop do BemBruno Dantas
 
Segurança em desenvolvimento de software
Segurança em desenvolvimento de softwareSegurança em desenvolvimento de software
Segurança em desenvolvimento de softwareJeronimo Zucco
 
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMArtigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMBruno Motta Rego
 
DevOpsDays Brasilia - DevSecOps: Adotando uma cultura de segurança ágil
DevOpsDays Brasilia - DevSecOps: Adotando uma cultura de segurança ágilDevOpsDays Brasilia - DevSecOps: Adotando uma cultura de segurança ágil
DevOpsDays Brasilia - DevSecOps: Adotando uma cultura de segurança ágilBruno Dantas
 
CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil
CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil
CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil Bruno Dantas
 
Você Escreve Código e Quem Valida?
Você Escreve Código e Quem Valida?Você Escreve Código e Quem Valida?
Você Escreve Código e Quem Valida?Conviso Application Security
 
PCI DSS e Metodologias Ágeis
PCI DSS e Metodologias ÁgeisPCI DSS e Metodologias Ágeis
PCI DSS e Metodologias ÁgeisUlisses Albuquerque
 
Estudo visando a mitigação do ataque sql injection em aplicações web
Estudo visando a mitigação do ataque sql injection em aplicações webEstudo visando a mitigação do ataque sql injection em aplicações web
Estudo visando a mitigação do ataque sql injection em aplicações webTiago Carmo
 
Engenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareEngenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareJuliano Padilha
 
Testes de segurança desafios e oportunidades
Testes de segurança desafios e oportunidadesTestes de segurança desafios e oportunidades
Testes de segurança desafios e oportunidadesQualister
 
CNASI 2014 - Servicos Confiaveis
CNASI 2014 - Servicos ConfiaveisCNASI 2014 - Servicos Confiaveis
CNASI 2014 - Servicos ConfiaveisCarlos Eduardo Motta de Castro
 
Como testar aplicativos ios e android
Como testar aplicativos ios e androidComo testar aplicativos ios e android
Como testar aplicativos ios e androidQualister
 
Dss 3
Dss 3Dss 3
Dss 3Jean Carlos da Silva
 
Aula 03 qs - confiabilidade de sw
Aula 03 qs - confiabilidade de swAula 03 qs - confiabilidade de sw
Aula 03 qs - confiabilidade de swJunior Gomes
 
Testando sua arquitetura... antes ou depois da implementação?!
Testando sua arquitetura... antes ou depois da implementação?!Testando sua arquitetura... antes ou depois da implementação?!
Testando sua arquitetura... antes ou depois da implementação?!Antônio Carlos
 
Teste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testingTeste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testingCristiano Caetano
 
CNASI 2015 - Desenvolvimento Seguro
CNASI 2015 - Desenvolvimento SeguroCNASI 2015 - Desenvolvimento Seguro
CNASI 2015 - Desenvolvimento SeguroCarlos Eduardo Motta de Castro
 
Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)Conviso Application Security
 
DevSecOps
DevSecOpsDevSecOps
DevSecOpsEleriane Cristina Costa
 
Critical Factors in Agile Software Projects para o Agile Brazil (2015)
Critical Factors in Agile Software Projects para o Agile Brazil (2015)Critical Factors in Agile Software Projects para o Agile Brazil (2015)
Critical Factors in Agile Software Projects para o Agile Brazil (2015)Karla Silva
 
Testes para dispositivos móveis
Testes para dispositivos móveisTestes para dispositivos móveis
Testes para dispositivos móveisQualister
 
DevOps
DevOpsDevOps
DevOpsAdriano Bertucci
 
Validando a Segurança de Software
Validando a Segurança de SoftwareValidando a Segurança de Software
Validando a Segurança de SoftwareJeronimo Zucco
 
Como se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareComo se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareAlcyon Ferreira de Souza Junior, MSc
 

Contenu connexe

Tendances

Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMArtigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMBruno Motta Rego
 
DevOpsDays Brasilia - DevSecOps: Adotando uma cultura de segurança ágil
DevOpsDays Brasilia - DevSecOps: Adotando uma cultura de segurança ágilDevOpsDays Brasilia - DevSecOps: Adotando uma cultura de segurança ágil
DevOpsDays Brasilia - DevSecOps: Adotando uma cultura de segurança ágilBruno Dantas
 
CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil
CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil
CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil Bruno Dantas
 
Estudo visando a mitigação do ataque sql injection em aplicações web
Estudo visando a mitigação do ataque sql injection em aplicações webEstudo visando a mitigação do ataque sql injection em aplicações web
Estudo visando a mitigação do ataque sql injection em aplicações webTiago Carmo
 
Engenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareEngenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareJuliano Padilha
 
Testes de segurança desafios e oportunidades
Testes de segurança desafios e oportunidadesTestes de segurança desafios e oportunidades
Testes de segurança desafios e oportunidadesQualister
 
Como testar aplicativos ios e android
Como testar aplicativos ios e androidComo testar aplicativos ios e android
Como testar aplicativos ios e androidQualister
 
Aula 03 qs - confiabilidade de sw
Aula 03 qs - confiabilidade de swAula 03 qs - confiabilidade de sw
Aula 03 qs - confiabilidade de swJunior Gomes
 
Testando sua arquitetura... antes ou depois da implementação?!
Testando sua arquitetura... antes ou depois da implementação?!Testando sua arquitetura... antes ou depois da implementação?!
Testando sua arquitetura... antes ou depois da implementação?!Antônio Carlos
 
Teste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testingTeste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testingCristiano Caetano
 
Critical Factors in Agile Software Projects para o Agile Brazil (2015)
Critical Factors in Agile Software Projects para o Agile Brazil (2015)Critical Factors in Agile Software Projects para o Agile Brazil (2015)
Critical Factors in Agile Software Projects para o Agile Brazil (2015)Karla Silva
 
Testes para dispositivos móveis
Testes para dispositivos móveisTestes para dispositivos móveis
Testes para dispositivos móveisQualister
 

Tendances (20)

Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMArtigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
 
DevOpsDays Brasilia - DevSecOps: Adotando uma cultura de segurança ágil
DevOpsDays Brasilia - DevSecOps: Adotando uma cultura de segurança ágilDevOpsDays Brasilia - DevSecOps: Adotando uma cultura de segurança ágil
DevOpsDays Brasilia - DevSecOps: Adotando uma cultura de segurança ágil
 
CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil
CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil
CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil
 
Você Escreve Código e Quem Valida?
Você Escreve Código e Quem Valida?Você Escreve Código e Quem Valida?
Você Escreve Código e Quem Valida?
 
PCI DSS e Metodologias Ágeis
PCI DSS e Metodologias ÁgeisPCI DSS e Metodologias Ágeis
PCI DSS e Metodologias Ágeis
 
Estudo visando a mitigação do ataque sql injection em aplicações web
Estudo visando a mitigação do ataque sql injection em aplicações webEstudo visando a mitigação do ataque sql injection em aplicações web
Estudo visando a mitigação do ataque sql injection em aplicações web
 
Engenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareEngenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de software
 
Testes de segurança desafios e oportunidades
Testes de segurança desafios e oportunidadesTestes de segurança desafios e oportunidades
Testes de segurança desafios e oportunidades
 
CNASI 2014 - Servicos Confiaveis
CNASI 2014 - Servicos ConfiaveisCNASI 2014 - Servicos Confiaveis
CNASI 2014 - Servicos Confiaveis
 
Como testar aplicativos ios e android
Como testar aplicativos ios e androidComo testar aplicativos ios e android
Como testar aplicativos ios e android
 
Dss 3
Dss 3Dss 3
Dss 3
 
Aula 03 qs - confiabilidade de sw
Aula 03 qs - confiabilidade de swAula 03 qs - confiabilidade de sw
Aula 03 qs - confiabilidade de sw
 
Testando sua arquitetura... antes ou depois da implementação?!
Testando sua arquitetura... antes ou depois da implementação?!Testando sua arquitetura... antes ou depois da implementação?!
Testando sua arquitetura... antes ou depois da implementação?!
 
Teste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testingTeste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testing
 
CNASI 2015 - Desenvolvimento Seguro
CNASI 2015 - Desenvolvimento SeguroCNASI 2015 - Desenvolvimento Seguro
CNASI 2015 - Desenvolvimento Seguro
 
Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)
 
DevSecOps
DevSecOpsDevSecOps
DevSecOps
 
Critical Factors in Agile Software Projects para o Agile Brazil (2015)
Critical Factors in Agile Software Projects para o Agile Brazil (2015)Critical Factors in Agile Software Projects para o Agile Brazil (2015)
Critical Factors in Agile Software Projects para o Agile Brazil (2015)
 
Testes para dispositivos móveis
Testes para dispositivos móveisTestes para dispositivos móveis
Testes para dispositivos móveis
 
DevOps
DevOpsDevOps
DevOps
 

Similaire à DevSecOps Segurança em pipeline contínuo

Validando a Segurança de Software
Validando a Segurança de SoftwareValidando a Segurança de Software
Validando a Segurança de SoftwareJeronimo Zucco
 
Como se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareComo se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareAlcyon Ferreira de Souza Junior, MSc
 
DevCommerce Conference 2016: SecDevOps – Testes contínuos de segurança em apl...
DevCommerce Conference 2016: SecDevOps – Testes contínuos de segurança em apl...DevCommerce Conference 2016: SecDevOps – Testes contínuos de segurança em apl...
DevCommerce Conference 2016: SecDevOps – Testes contínuos de segurança em apl...iMasters
 
Webinar Segurança de DevOps
Webinar Segurança de DevOpsWebinar Segurança de DevOps
Webinar Segurança de DevOpsTenchi Security
 
Sonarqube
SonarqubeSonarqube
SonarqubeCDS
 
Oficina Métodos Ágeis UDESC
Oficina Métodos Ágeis UDESCOficina Métodos Ágeis UDESC
Oficina Métodos Ágeis UDESCWildtech
 
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
A Carreira de Desenvolvedor: do Jr ao Sênior
A Carreira de Desenvolvedor: do Jr ao SêniorA Carreira de Desenvolvedor: do Jr ao Sênior
A Carreira de Desenvolvedor: do Jr ao SêniorMarcos Pereira
 
Quebrando barreiras entre desenvolvimento e operação de software com DevOps
Quebrando barreiras entre desenvolvimento e operação de software com DevOpsQuebrando barreiras entre desenvolvimento e operação de software com DevOps
Quebrando barreiras entre desenvolvimento e operação de software com DevOpsJosé Alexandre Macedo
 
[DevOps Summit Brasil] Procura-se: DevOps!
[DevOps Summit Brasil] Procura-se: DevOps![DevOps Summit Brasil] Procura-se: DevOps!
[DevOps Summit Brasil] Procura-se: DevOps!Camilla Gomes
 
Procura-se: DevOps #cpbr9
Procura-se: DevOps #cpbr9Procura-se: DevOps #cpbr9
Procura-se: DevOps #cpbr9Camilla Gomes
 
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar [GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejarGUTS-RS
 
Qualidade e Teste de Software - O que preciso saber
Qualidade e Teste de Software - O que preciso saberQualidade e Teste de Software - O que preciso saber
Qualidade e Teste de Software - O que preciso saberKamilla Queiroz Xavier
 
Aula 1 introdução à engenharia de software1 (1)
Aula 1 introdução à engenharia de software1 (1)Aula 1 introdução à engenharia de software1 (1)
Aula 1 introdução à engenharia de software1 (1)Tiago Vizoto
 
Campus Party Brasil 2010 - ALM - Application Lifecycle Management
Campus Party Brasil 2010 - ALM - Application Lifecycle ManagementCampus Party Brasil 2010 - ALM - Application Lifecycle Management
Campus Party Brasil 2010 - ALM - Application Lifecycle ManagementRamon Durães
 
Palestra Teste de Software: princípios, ferramentas e carreira
Palestra Teste de Software: princípios, ferramentas e carreiraPalestra Teste de Software: princípios, ferramentas e carreira
Palestra Teste de Software: princípios, ferramentas e carreiraTaís Dall'Oca
 

Similaire à DevSecOps Segurança em pipeline contínuo (20)

Validando a Segurança de Software
Validando a Segurança de SoftwareValidando a Segurança de Software
Validando a Segurança de Software
 
Como se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareComo se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de Software
 
DevCommerce Conference 2016: SecDevOps – Testes contínuos de segurança em apl...
DevCommerce Conference 2016: SecDevOps – Testes contínuos de segurança em apl...DevCommerce Conference 2016: SecDevOps – Testes contínuos de segurança em apl...
DevCommerce Conference 2016: SecDevOps – Testes contínuos de segurança em apl...
 
Webinar Segurança de DevOps
Webinar Segurança de DevOpsWebinar Segurança de DevOps
Webinar Segurança de DevOps
 
Sonarqube
SonarqubeSonarqube
Sonarqube
 
BDD com Xamarin UI Test e Specflow
BDD com Xamarin UI Test e SpecflowBDD com Xamarin UI Test e Specflow
BDD com Xamarin UI Test e Specflow
 
Oficina Métodos Ágeis UDESC
Oficina Métodos Ágeis UDESCOficina Métodos Ágeis UDESC
Oficina Métodos Ágeis UDESC
 
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
 
A Carreira de Desenvolvedor: do Jr ao Sênior
A Carreira de Desenvolvedor: do Jr ao SêniorA Carreira de Desenvolvedor: do Jr ao Sênior
A Carreira de Desenvolvedor: do Jr ao Sênior
 
Quebrando barreiras entre desenvolvimento e operação de software com DevOps
Quebrando barreiras entre desenvolvimento e operação de software com DevOpsQuebrando barreiras entre desenvolvimento e operação de software com DevOps
Quebrando barreiras entre desenvolvimento e operação de software com DevOps
 
Aula11.pdf
Aula11.pdfAula11.pdf
Aula11.pdf
 
[DevOps Summit Brasil] Procura-se: DevOps!
[DevOps Summit Brasil] Procura-se: DevOps![DevOps Summit Brasil] Procura-se: DevOps!
[DevOps Summit Brasil] Procura-se: DevOps!
 
Procura-se: DevOps #cpbr9
Procura-se: DevOps #cpbr9Procura-se: DevOps #cpbr9
Procura-se: DevOps #cpbr9
 
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar [GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
 
Qualidade e Teste de Software
Qualidade e Teste de SoftwareQualidade e Teste de Software
Qualidade e Teste de Software
 
Qualidade e Teste de Software - O que preciso saber
Qualidade e Teste de Software - O que preciso saberQualidade e Teste de Software - O que preciso saber
Qualidade e Teste de Software - O que preciso saber
 
Aula 1 introdução à engenharia de software1 (1)
Aula 1 introdução à engenharia de software1 (1)Aula 1 introdução à engenharia de software1 (1)
Aula 1 introdução à engenharia de software1 (1)
 
Workshop ietec Devops Testing
Workshop ietec Devops TestingWorkshop ietec Devops Testing
Workshop ietec Devops Testing
 
Campus Party Brasil 2010 - ALM - Application Lifecycle Management
Campus Party Brasil 2010 - ALM - Application Lifecycle ManagementCampus Party Brasil 2010 - ALM - Application Lifecycle Management
Campus Party Brasil 2010 - ALM - Application Lifecycle Management
 
Palestra Teste de Software: princípios, ferramentas e carreira
Palestra Teste de Software: princípios, ferramentas e carreiraPalestra Teste de Software: princípios, ferramentas e carreira
Palestra Teste de Software: princípios, ferramentas e carreira
 

DevSecOps Segurança em pipeline contínuo

  • 1. DEVSECOPS Segurança em um pipeline contínuo
  • 2. Quem sou +10 anos atuando em desenvolvimento +8 anos atuando em segurança Certificados: • Java Associate e Programmer - Sun • Secure Programming Foundation - EXIN • Certified Secure Software Lifecycle Professional (CSSLP) - (ISC)2
  • 3. Aviso Legal • Todas as opiniões aqui expressas são pessoais e não representam a opinião de meus empregadores. • Todos os exemplos aqui expostos são com base em laboratórios e estudos pessoais.
  • 4. “Um software que é seguro vai adicionar qualidade ao produto, mas o inverso não é verdadeiro!” PAUL, Mano - Official (ISC)2 Guide to the CSSLP CBK - 2013
  • 5. Antes de falar de DevSecOps
  • 7.
  • 8. Porque DevOps? • Resolução de conflito • Entre desenvolvimento e operações • Patrick Debois - 2008
  • 9.
  • 10. Base do DevOps • Cultura/Maturidade • Automação • Integração • Indicadores •Limitar o work in progress •Aumentar o feedback •Tornar o feedback constante •Eliminar retrabalho
  • 11. E qual o problema? • Coisas inseguras sendo entregues mais rápidas • Áreas de segurança tendem a se tornar gargalo em processos de avaliação • Time to Market
  • 13. Fatores históricos de segurança • Foco em redes • Era visto como um componente a ser plugado no final • Problema de performance • “custos desnecessários” • Gargalo em validações • Segurança vs Usabilidade
  • 14. Outros fatos relevantes • 2 em cada 3 aplicações falhariam em validações da OWASP TOP 10 e/ou SANS 25 1 • 44% das falhas de software nunca são corrigidas 1 1 State of Software Security – Volume 10 - Veracode
  • 16. Fonte: Checkmarx – Security Testing in SDLC
  • 18. Apetite ao risco • Linguagem única de risco para a empresa • Qual o Impacto da aplicação no negócio? • Qual a Probabilidade de o risco se materializar? • Quais os planos mitigatórios? • Quem tem papel decisório quanto a risco e qual a alçada?
  • 19. Conhecimento • Conhecer a equipe • Tecnologias • Ferramentas • Processos • Recursos disponíveis
  • 21. Ganhos com DevSecOps 68 19 10 20 30 40 50 60 70 12 260 Diasparacorrigir Frequência de Scans ao ano X Tempo de correção Scans Fonte: State of Software Security – Volume 10 - Veracode
  • 22. Static Analysis (IDE) Code Review Static Analysis Break build Abuse case test Compliance Validation Logs Audit Threat Intelligence Incident Management Threat Model Continuous Monitoring
  • 23.
  • 24. E por onde começo?
  • 25. Plano de ação • Apoio da equipe de Segurança • Equipes precisa ter treinamento de segurança • Automatizar • Padronizar • SSL Approatch - Shifting Security Left • Verifique as dependências • Aprenda sobre o “outro lado da moeda”
  • 26. Pesquise e estude sobre • Application Security (App Sec) • SDLC, SSDLC • OWASP TOP 10 • DEVSECOPS • Protocolos utilizados (HTTP, TLS...)
  • 27. Risk & Compliance Risk Assessment & Visibility Security Ratings Pen Testing& Breach Simulation GRC Security Awareness& Training Identity & AccessManagement Identity Governance Consumer Identity IDaaS Security Incident Response Security Analytics Security Operations& Incident Response SIEM Digital Risk Management Cloud Security Infrastructure CASB Container Threat Intelligence MSSP Traditional MSSP Advanced MSS& MDR Mobile Security Encryption DLP Data Privacy Data Centric Security Data Security Application Security WAF& Application Security Application Security Testing Web Security Advanced Threat Protection NAC ICS+ OT Network Analysis& Forensics SDN DDoSProtection DNSSecurity Network Firewall Deception Network & Infrastructure Security Privileged Management Authentication Endpoint Security Endpoint Prevention Endpoint Detection & Response Vicarius 2020 Blockchain Fraud & Transaction Security IoT IoT Devices Connected Home Automotive Security Consulting& Services MessagingSecurity
  • 28. Application Security WAF& Application Security Application Security Testing Endpoint Security Endpoint Prevention Endpoint Detection & Response Vicarius Web Security Endpoint Security Endpoint Prevention Endpoint Detection & Response
  • 31. Referências • Official (ISC)2 Guide to the CSSLP CBK ((ISC)2 Press) - https://www.amazon.com.br/dp/B00EYLMBHQ • OWASP - https://owasp.org/ • Injecting the Sec into DevSecOps - https://medium.com/@mdkail/injecting-the- sec-into-devsecops-1d752788a24 • Veracode State of Software Security X - http://veracode.com/state-of-software- security-report • DevSecOps: Integrando Segurança no Processo de Desenvolvimento - https://www.youtube.com/watch?v=WgfiEyzfAlI

Notes de l'éditeur

  1. DevOps == 2008 - Patrick Debois – Toronto - Agile Conference 2009 - “10+ Deploys per Day: Dev and Ops Cooperation at Flickr” – O’Reilly Velocity Conference 2011 – Relatório do Gartner informa que a “Cultura DevOps” se tornaria a principal estratégia até 2015 Agile Manifesto - 2001
  2. DevSecOps – Abordagem Integrada