Monitorando a Segurança de Dependências

Transcript

1. Monitorando a segurança de dependências PHP Eliseu Borges

2. Trabalho com PHP há 11 anos. Já atuei em projetos

   nas áreas industrial, médica, comércio, governo. Atualmente trabalho no Ministério da Educação pela Cast Group. Eliseu Borges Analista de Sistemas

3. Dependências São bibliotecas suas ou de terceiros que você deseja

   ou precisa utilizar em seu projeto.

4. Composer Gerenciador de dependências mais utilizado no ecossistema PHP. Ele

   se encarrega de baixar e criar um autoloader deixando as dependências prontas para uso.

5. Mais de 140 mil pacotes registrados, totalizando cerca de 850

   mil versões. De 2012 até hoje foram instalados mais de 4 bilhões de pacotes. Fonte: https://packagist.org/statistics Composer

6. OWASP Open Web Application Security Project (OWASP) é uma comunidade

   aberta, dedicada a capacitar as organizações a desenvolver, adquirir e manter aplicações confiáveis.

7. OWASP Top 10 10 riscos de segurança mais críticos em

   aplicações web

8. A9 - Utilização de componentes com vulnerabilidades conhecidas Um perigo

   iminente, que pode causar perdas irreparáveis! Elas são muito exploradas, pois, em geral, ninguém dá a devida atenção. WannaCry – utilizou uma vulnerabilidade conhecida do Windows e afetou 45 mil computadores em mais de 70 países. Fonte: http://idgnow.com.br

9. Onde buscar informações?

10. Exploit-db (https://www.exploit-db.com/platform/?p=PHP)

11. CVE - Common Vulnerabilities and Exposures (https://cve.mitre.org/cve/)

12. NVD (National Vulnerability Database) (https://nvd.nist.gov/)

13. OWASP BSB Community - https://telegram.me/owaspbsb Grupos e canais Mailing list

    dos próprios fornecedores

14. Mas eu não tenho tempo e ainda por cima tenho

    muitos projetos!

15. Analisa o arquivo composer.lock Utilliza o projeto FriendsOfPHP/security-advisories como base

    de dados. https://security.sensiolabs.org/

16. Estatísticas do próprio site relatam mais de 59 milhões de

    arquivos composer.lock já verificados. Aproximadamente 10% dos arquivos referenciavam alguma dependência com vulnerabilidade conhecida. O número de vulnerabilidades encontradas ultrapassa a casa dos 18 milhões.

17. Online Checker

18. CLI

19. Webservice / API – Text/Plain

20. Webservice / API - JSON

21. Plugin para o Jenkins. Possibilidade de assinar o RSS. É

    um projeto beta, mas muito promissor.

22. Roave Security Advisories É uma dependência que bloqueia a instalação

    de outras dependências com problema de segurança conhecidas. Ela utiliza a mesma base de dados do Sensiolabs security check - FriendsOfPHP/security-advisories. https://github.com/Roave/SecurityAdvisories

23. Roave Security Advisories

24. OWASP Dependency Check https://www.owasp.org/index.php/OWASP_Dependency_Check Para PHP (Composer), está em fase

    experimental, pois ainda ocorrem muitos falsos positivos. Atualmente suporta Java e .NET Pode ser utilizado via CLI, Ant Task e Plugins: Maven, Jenkins e outros. Possui integração com SonarQube e outros.

25. Demonstração

26. Obrigado! @eliseuborges [email protected] in/eliseuborges