O documento discute a importância da abordagem DevSecOps para integração da segurança no desenvolvimento contínuo. Apresenta os benefícios de automatizar validações de segurança e reduzir o tempo para correção de vulnerabilidades. Também discute a necessidade de apoio da equipe de segurança, treinamento das equipes de desenvolvimento e padronização dos processos de segurança.
2. Quem sou
+10 anos atuando em desenvolvimento
+8 anos atuando em segurança
Certificados:
• Java Associate e Programmer - Sun
• Secure Programming Foundation - EXIN
• Certified Secure Software Lifecycle Professional (CSSLP) -
(ISC)2
3. Aviso Legal
• Todas as opiniões aqui expressas são pessoais e não
representam a opinião de meus empregadores.
• Todos os exemplos aqui expostos são com base em
laboratórios e estudos pessoais.
4. “Um software que é seguro vai
adicionar qualidade ao produto, mas
o inverso não é verdadeiro!”
PAUL, Mano - Official (ISC)2 Guide to the CSSLP CBK - 2013
10. Base do DevOps
• Cultura/Maturidade
• Automação
• Integração
• Indicadores
•Limitar o work in progress
•Aumentar o feedback
•Tornar o feedback
constante
•Eliminar retrabalho
11. E qual o problema?
• Coisas inseguras sendo entregues mais rápidas
• Áreas de segurança tendem a se tornar gargalo em
processos de avaliação
• Time to Market
13. Fatores históricos de segurança
• Foco em redes
• Era visto como um componente a ser plugado no final
• Problema de performance
• “custos desnecessários”
• Gargalo em validações
• Segurança vs Usabilidade
14. Outros fatos relevantes
• 2 em cada 3 aplicações falhariam em validações da
OWASP TOP 10 e/ou SANS 25 1
• 44% das falhas de software nunca são corrigidas 1
1 State of Software Security – Volume 10 - Veracode
18. Apetite ao risco
• Linguagem única de risco para a empresa
• Qual o Impacto da aplicação no negócio?
• Qual a Probabilidade de o risco se materializar?
• Quais os planos mitigatórios?
• Quem tem papel decisório quanto a risco e qual a
alçada?
25. Plano de ação
• Apoio da equipe de Segurança
• Equipes precisa ter treinamento de segurança
• Automatizar
• Padronizar
• SSL Approatch - Shifting Security Left
• Verifique as dependências
• Aprenda sobre o “outro lado da moeda”
26. Pesquise e estude sobre
• Application Security (App Sec)
• SDLC, SSDLC
• OWASP TOP 10
• DEVSECOPS
• Protocolos utilizados (HTTP, TLS...)
27. Risk & Compliance
Risk Assessment & Visibility Security Ratings
Pen Testing& Breach Simulation GRC Security Awareness& Training
Identity & AccessManagement
Identity Governance
Consumer Identity
IDaaS
Security Incident Response
Security Analytics
Security Operations& Incident Response
SIEM
Digital Risk Management
Cloud Security
Infrastructure CASB
Container
Threat Intelligence
MSSP
Traditional MSSP Advanced MSS& MDR
Mobile Security
Encryption DLP Data Privacy Data Centric Security
Data Security
Application Security
WAF& Application Security
Application Security Testing
Web Security
Advanced Threat Protection
NAC
ICS+ OT
Network Analysis& Forensics
SDN DDoSProtection DNSSecurity
Network Firewall
Deception
Network & Infrastructure Security
Privileged Management
Authentication
Endpoint Security
Endpoint Prevention
Endpoint Detection & Response
Vicarius
2020
Blockchain Fraud & Transaction Security
IoT
IoT Devices
Connected Home
Automotive
Security Consulting& Services
MessagingSecurity
31. Referências
• Official (ISC)2 Guide to the CSSLP CBK ((ISC)2 Press) -
https://www.amazon.com.br/dp/B00EYLMBHQ
• OWASP - https://owasp.org/
• Injecting the Sec into DevSecOps - https://medium.com/@mdkail/injecting-the-
sec-into-devsecops-1d752788a24
• Veracode State of Software Security X - http://veracode.com/state-of-software-
security-report
• DevSecOps: Integrando Segurança no Processo de Desenvolvimento -
https://www.youtube.com/watch?v=WgfiEyzfAlI
Notes de l'éditeur
DevOps ==
2008 - Patrick Debois – Toronto - Agile Conference
2009 - “10+ Deploys per Day: Dev and Ops Cooperation at Flickr” – O’Reilly Velocity Conference
2011 – Relatório do Gartner informa que a “Cultura DevOps” se tornaria a principal estratégia até 2015
Agile Manifesto - 2001