DevSecOps: Criando uma Cultura shift left

Transcript

1. DevSecOps Criando uma cultura shift left

2. Evandro Mohr 2 Desenvolvedor Piloto Professor Fotógrafo

3. “ “ Segurança e Velocidade de entrega são situações completamente

   diferentes. Enquanto velocidade é visível, segurança não .... até que ela falhe.

4. 4 The road so far...

5. Modelo Caótico Modelo Cascata Modelo Ágil SDLC Evolution

6. None
7. None

8. DevOps

9. Monitoring Production Staging / QA Binary Repository CI/CD Server Source

   Code Repository Development Processo típico DevOps

10. Monitoring Production Staging / QA Binary Repository CI/CD Server Source

    Code Repository Development Processo típico DevOps E quanto à segurança?

11. Monitoring Production Staging / QA Binary Repository CI/CD Server Source

    Code Repository Development Pentesting Processo típico DevOps

12. 12 DevSecOps

13. Cultura Princípios e práticas que guiam o trabalho do time

    Processo Políticas e procedimentos que organizam o trabalho Tecnologias Conjunto de ferramentas que suportam o desenvolvimento

14. Mas, o que é shift left?

15. Custo para corrigir uma falha de segurança

16. Monitoring Production Staging / QA Binary Repository CI/CD Server Source

    Code Repository Development Pentesting Shift left

17. • Análise Dinâmica (DAST) • Gerenciamento de vulnerabilidade • Compliance

    as Code • Segurança de IaaC • Levantamento e identificação de vulnerabilidade • Pentesting Manual • Business Logic Flaws • Alerta e monitoramento dos deploys (Top 10 OWASP) • Scan de artefatos • Análise estática de código (SAST) • Análise da Composição do Software (SCA) • Gerenciamento de senhas baseados em tokens • Hooks Pre-commit • IDE Plugins • Linters Monitoring Production Staging / QA Binary Repository CI/CD Server Source Code Repository Development Pentesting Shift left

18. DevSecOps

19. Nem o melhor processo ou as melhores ferramentas são capazes

    de desempenhar seu papel na segurança se a cultura não os apoiar.

20. Cultura Princípios e práticas que guiam o trabalho do time

    Processo Políticas e procedimentos que organizam o trabalho Tecnologias Conjunto de ferramentas que suportam o desenvolvimento

21. Segurança é importante! Mas... … por enquanto está bom assim.

    … esses riscos não são relevantes. … é só um projeto piloto. Nem precisa. … mudamos rápido demais. Não dá tempo. … dependemos de solução de terceiros. … não queremos formalidades. … somos seguros, nunca nos invadiram. … < insira aqui a sua resposta >

22. Quem é responsável pela segurança?

23. todos. Quem é responsável pela segurança?

24. Não existe um único modelo Cada empresa é única. Processos,

    tecnologias, quantidade de times e, inclusive, orçamento. Ao implantar uma cultura DevSecOps, descubra o que faz sentido para sua empresa. Transparência e honestidade Melhoria contínua

25. Transparência e honestidade Faça com que a segurança seja um

    esforço conjunto e responsabilidade de todos. E, para que isso ocorra, é necessário que as pessoas confiem umas nas outras. Não há DevSecOps sem colaboração. Não existe um único modelo Melhoria contínua

26. Melhoria contínua Aprendemos mais com erros do que com acertos,

    portanto, estimule um ambiente de não culpabilidade. Não existe um único modelo Transparência e honestidade

27. Descubra o DevSecOps que faz sentido para sua empresa. Não

    crie novos silos Treinamento e capacitação Engajamento dos executivos Engajamento dos devs Tenha um plano

28. Responder a mudanças mais do que seguir um plano

29. Segurança é responsabilidade de todos. Construa afinidades Empodere o time,

    dê autonomia Clareza de comunicação Compartilhamento de histórias Valores e Objetivos explícitos e comuns entre todos

30. Pessoas só são o elo mais fraco quando a cultura

    e os mecanismos de segurança trabalham contra elas, em vez de para elas.

31. Melhoria contínua Erre cedo e aprenda rápido Faça pequenos incrementos

    Evolução técnica Automatize sempre que possível Prepare Security Champions

32. Por onde começo?

33. Manter o interesse Base de conhecimento Canais de Comunicação Nomear

    champions Definir o papel Identificar times Security Champions Playbook

34. • Workshops periódicos • Estimule participação em eventos de segurança

    • Crie newsletter com conteúdos atuais e refinados • Forneça materiais de estudo • Construir uma sólida base de conhecimento • Papéis, melhores práticas, riscos, vulnerabilidades e outras informações relevantes • Crie checklists e documente também com código :) • Garantir uma forma fácil de comunicação e obter feedback. • Ferramentas de chat e/ou lista de emails • Definir cadências regulares de sincronização. (weekly é um bom começo) • Conseguir aprovação. • Identificar possíveis candidatos junto com os líderes de cada time. • Nomeá-los oficialmente como parte do meta-time de segurança. (SPoC) • Não imponha, busque entusiastas • Medir o estado atual da segurança com os times e definir metas • Identificar pontos onde o champion pode atuar • Definir com clareza a atuação e o papel • Enumerar produtos e serviços • Listar times por produto • Identificar responsáveis pelo produto e pelo desenvolvimento • Elencar tecnologias usadas por cada time Manter o interesse Base de conhecimento Canais de Comunicação Nomear champions Definir o papel Identificar times Security Champions Playbook

35. “ “ Não tem problema errar. Você só não pode

    ser comprometido com o erro. Gabriel Takeuchi

36. Muito obrigado pelo seu tempo 36 Onde você pode me

    encontrar: ▪ /evandromohr ▪ t.me/phpcomrapadura ▪ @evandro.mohr