OWASP: Ferramentas e metodologias para o desenvolvimento de software seguro

Transcript

1. Projetos OWASP Ferramentas e metodologias para o desenvolvimento de software

   seguro

2. Sobre mim! Fernando Silva Application Security Analyst

3. Porto Alegre Chapter

4. Capítulos OWASP Os Capítulos (Chapters) são grupos regionais da OWASP,

   que tem como objetivo fomentar localmente a cultura da segurança de aplicações através da realização de no mínimo 4 eventos por ano.

5. OWASP no Mundo

6. OWASP no Brasil (14)

7. Testes buscando identificar bugs e garantir que os requisitos foram

   implementados Ciclo de Vida do Desenvolvimento de Software Processo SDLC Definição de requisitos para desenvolvimento da solução Elaboração de um plano para atender os requisitos estabelecidos Construção do código para implementação dos requisitos Implantação do software em produção Manutenção do software em produção

8. Segurança no Ciclo de Desenvolvimento Seguro Fonte: National Institute of

   Standards and Technology (NIST) Porque implementar segurança no ciclo de desenvolvimento? Um estudo do Instituto Nacional de Padrões e Tecnologia (NIST) desenvolveu uma estimativa que mostra o custo da correção de vulnerabilidades em vários estágios de desenvolvimento. O gráfico ajuda a visualizar como o esforço na detecção e correção de vulnerabilidades aumenta à medida que o software passa pelas cinco grandes fases de desenvolvimento de software.

9. SDLC, S-SDLC e Shift Left Shift-Left Security significa mover o

   início da fase de tratar segurança para esquerda, ou seja, ao invés de segurança ser tratada nos estágios finais, as atividades de segurança passam a ocorrer mais cedo, e perduram durante todo o ciclo de vida do desenvolvimento de software. Processo SDLC Processo S-SDLC

10. Projetos OWASP - Mais de 260 projetos

11. Requisitos

12. Requisitos - ASVS Fonte: https://owasp.org/www-project-application-security-verification-standard/

13. Requisitos - MASVS e MASTG Fonte: https://owasp.org/www-project-mobile-app-security/

14. Requisitos - SecurityRAT Security Requirement Automation Tool Fonte: https://owasp.org/www-project-securityrat/

15. Requisitos - OWASP SKF OWASP Security Knowledge Framework Fonte: https://owasp.org/www-project-security-knowledge-framework/

16. Projeto

17. Projeto - Modelagem de Ameaças OWASP Threat Dragon Fonte: https://owasp.org/www-project-threat-dragon/

18. Projeto - Modelagem de Ameaças OWASP pytm Fonte: https://owasp.org/www-project-pytm/

19. Projeto - Modelagem de Ameaças OWASP Cornucopia Fonte: https://owasp.org/www-project-cornucopia/

20. Implementação

21. Implementação - Documentação OWASP Proactive Controls Fonte: https://owasp.org/www-project-proactive-controls/

22. Implementação - Documentação OWASP Go Secure Coding Practices Guide Fonte:

    https://owasp.org/www-project-go-secure-coding-practices-guide/

23. Implementação - Documentação OWASP Cheat Sheet Series Ponte entre os

    projetos OWASP Proactive Controls, OWASP ASVS e OWASP CSS A série OWASP Cheat Sheet foi criada para fornecer uma coleção concisa de informações de alto valor sobre tópicos específicos de segurança de aplicativos. Essas dicas foram criadas por vários profissionais de segurança de aplicativos com experiência em tópicos específicos. Fonte: https://cheatsheetseries.owasp.org/

24. Implementação - Dependências OWASP Dependency-Check Fonte: https://owasp.org/www-project-dependency-check/

25. Implementação - Dependências OWASP Dependency-Track Fonte: https://owasp.org/www-project-dependency-track/

26. Implementação - Bibliotecas de Segurança OWASP Enterprise Security API (ESAPI)

    Fonte: https://owasp.org/www-project-enterprise-security-api/

27. Implementação - Bibliotecas de Segurança OWASP CSRFGuard Fonte: https://owasp.org/www-project-csrfguard/

28. Verificação

29. Verificação - Guias OWASP Web Security Testing Guide Fonte: https://owasp.org/www-project-web-security-testing-guide/

30. Verificação - Guias OWASP Mobile Application Security Fonte: https://owasp.org/www-project-mobile-app-security/

31. Verificação - Ferramentas OWASP Code Pulse Fonte: https://owasp.org/www-project-code-pulse/

32. Verificação - Ferramentas OWASP Amass Fonte: https://owasp.org/www-project-amass/

33. Verificação - Ferramentas OWASP Zed Attack Proxy (ZAP) Fonte: https://owasp.org/www-project-zap/

34. Verificação - Ferramentas OWASP OWTF (Offensive Web Testing Framework) Fonte:

    https://owasp.org/www-project-owtf/

35. Verificação - Ferramentas OWASP Nettacker Fonte: https://owasp.org/www-project-nettacker/

36. Verificação - Frameworks OWASP Glue - Application Security Automation Fonte:

    https://github.com/OWASP/glue

37. Verificação - Frameworks OWASP Dracon - Security scanning & static

    analysis tool Fonte: https://github.com/thought-machine/dracon/

38. Verificação - Gestão de Vulnerabilidades OWASP DefectDojo Fonte: https://owasp.org/www-project-defectdojo/

39. Avaliação de Gaps

40. Avaliação de Gaps OWASP SAMM - Software Assurance Maturity Model

    Fonte: https://owaspsamm.org/

41. Avaliação de Gaps - ASVS Fonte: https://owasp.org/www-project-application-security-verification-standard/

42. Avaliação de Gaps - MASVS e MASTG Fonte: https://owasp.org/www-project-mobile-app-security/

43. Treinamento/Educação

44. Treinamento/Educação OWASP Top Ten Fonte: https://owasp.org/www-project-top-ten/

45. Treinamento/Educação OWASP API Top Ten Fonte: https://owasp.org/www-project-api-security/

46. Treinamento/Educação OWASP Mobile Top 10 Fonte: https://owasp.org/www-project-mobile-top-10/

47. Treinamento/Educação OWASP Juice Shop Fonte: https://owasp.org/www-project-juice-shop/

48. Treinamento/Educação OWASP WebGoat - A deliberately insecure Web Application Fonte:

    https://owasp.org/www-project-webgoat/

49. Treinamento/Educação OWASP Snakes And Ladders Fonte: https://owasp.org/www-project-snakes-and-ladders/

50. Treinamento/Educação OWASP Security Shepherd Fonte: https://owasp.org/www-project-security-shepherd/

51. Construção de Cultura e Amadurecimento de Processos

52. Construção de Cultura e Amadurecimento de Processos Security Champions Playbook

    Fonte: https://github.com/c0rdis/security-champions-playbook

53. Operação

54. Operação Fonte: https://owasp.org/www-project-modsecurity-core-rule-set/

55. Segurança no Ciclo de Desenvolvimento Seguro O que te impede

    de implementar segurança no ciclo de desenvolvimento? Fonte: National Institute of Standards and Technology (NIST)

56. DÚVIDAS? fernando.poa.br speakerdeck.com/fernandodebrando Perguntas?

57. Porto Alegre Chapter Em dezembro teremos o nosso próximo encontro,

    será no dia 01/12 (quinta-feira), a partir das 19h30, online em nosso canal do YouTube. Confira a agenda: 19h30-20h10 20:20-21:00 Contamos com vocês! "E o seu app, está seguro?" Rennan Possas (Application Security Analyst na XP Inc) "Como integrar ferramentas de scan ao DefectDojo utilizando PHP para enviar reports por API" Eduardo Machado (Analista de Segurança da Informação na KingHost)

58. Participe do capítulo OWASP POA owasp.org/www-chapter-porto-alegre t.me/porto_alegre_owasp meetup.com/pt-BR/OWASP-Porto-Alegre-Chapter OWASP Chapter

    Porto Alegre