Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Monitorando a Segurança de Dependências

Monitorando a Segurança de Dependências

1134e48b5fe78c00f327862f185e1035?s=128

Eliseu Borges

June 01, 2017
Tweet

Transcript

  1. Monitorando a segurança de dependências PHP Eliseu Borges

  2. Trabalho com PHP há 11 anos. Já atuei em projetos

    nas áreas industrial, médica, comércio, governo. Atualmente trabalho no Ministério da Educação pela Cast Group. Eliseu Borges Analista de Sistemas
  3. Dependências São bibliotecas suas ou de terceiros que você deseja

    ou precisa utilizar em seu projeto.
  4. Composer Gerenciador de dependências mais utilizado no ecossistema PHP. Ele

    se encarrega de baixar e criar um autoloader deixando as dependências prontas para uso.
  5. Mais de 140 mil pacotes registrados, totalizando cerca de 850

    mil versões. De 2012 até hoje foram instalados mais de 4 bilhões de pacotes. Fonte: https://packagist.org/statistics Composer
  6. OWASP Open Web Application Security Project (OWASP) é uma comunidade

    aberta, dedicada a capacitar as organizações a desenvolver, adquirir e manter aplicações confiáveis.
  7. OWASP Top 10 10 riscos de segurança mais críticos em

    aplicações web
  8. A9 - Utilização de componentes com vulnerabilidades conhecidas Um perigo

    iminente, que pode causar perdas irreparáveis! Elas são muito exploradas, pois, em geral, ninguém dá a devida atenção. WannaCry – utilizou uma vulnerabilidade conhecida do Windows e afetou 45 mil computadores em mais de 70 países. Fonte: http://idgnow.com.br
  9. Onde buscar informações?

  10. Exploit-db (https://www.exploit-db.com/platform/?p=PHP)

  11. CVE - Common Vulnerabilities and Exposures (https://cve.mitre.org/cve/)

  12. NVD (National Vulnerability Database) (https://nvd.nist.gov/)

  13. OWASP BSB Community - https://telegram.me/owaspbsb Grupos e canais Mailing list

    dos próprios fornecedores
  14. Mas eu não tenho tempo e ainda por cima tenho

    muitos projetos!
  15. Analisa o arquivo composer.lock Utilliza o projeto FriendsOfPHP/security-advisories como base

    de dados. https://security.sensiolabs.org/
  16. Estatísticas do próprio site relatam mais de 59 milhões de

    arquivos composer.lock já verificados. Aproximadamente 10% dos arquivos referenciavam alguma dependência com vulnerabilidade conhecida. O número de vulnerabilidades encontradas ultrapassa a casa dos 18 milhões.
  17. Online Checker

  18. CLI

  19. Webservice / API – Text/Plain

  20. Webservice / API - JSON

  21. Plugin para o Jenkins. Possibilidade de assinar o RSS. É

    um projeto beta, mas muito promissor.
  22. Roave Security Advisories É uma dependência que bloqueia a instalação

    de outras dependências com problema de segurança conhecidas. Ela utiliza a mesma base de dados do Sensiolabs security check - FriendsOfPHP/security-advisories. https://github.com/Roave/SecurityAdvisories
  23. Roave Security Advisories

  24. OWASP Dependency Check https://www.owasp.org/index.php/OWASP_Dependency_Check Para PHP (Composer), está em fase

    experimental, pois ainda ocorrem muitos falsos positivos. Atualmente suporta Java e .NET Pode ser utilizado via CLI, Ant Task e Plugins: Maven, Jenkins e outros. Possui integração com SonarQube e outros.
  25. Demonstração

  26. Obrigado! @eliseuborges contato@eliseuborges.com in/eliseuborges