Automação de Segurança no Desenvolvimento de Software

Transcript

1. { Automação de Segurança no desenvolvimento de Software } bell

   hooks Escritora e Ativista Negra

2. Deixem me apresentar Atua com software desde 2005, formada em

   Sistemas de Informação (UMESP, 13), pós-graduada em Gestão Pública (FESPSP, 2015), Facilitadora/instrutora do projeto #MinasProgramam e da comunidade #WWGSP. Mais nova membro do #DevsJavaGirl, Consultora de desenvolvimento de software na ThoughtWorks. Menina e mulher de família de cor simples da região periférica de SP

3. Por que eu estou aqui? • Ação Afirmativa • Desigualdade

   de gênero • Desigualdade racial • Desigualdade social e econômica • Networking mais diverso, presente e comprometido

4. Segurança Por que precisamos nos preocupar com segurança no desenvolvimento

   de software?

5. Segurança no desenvolvimento de software? "Uber pagou hackers para ocultar

   uma brecha de dados de 57 milhões de usuários" - O escândalo mais recente do serviço de compartilhamento de viagens combina a negligência rotineira de segurança com um encobrimento "terrível".

6. Segurança no desenvolvimento de software? • Perda financeira • Reputação

   abalada • Perda de clientes

7. Automação Por que automatizar segurança no desenvolvimento de software?

8. Automação de Segurança • Tempo • Vigilância contínua • Transparência

9. Notavelmente, os aspectos humanos dos sistemas humano-computador apenas crescem junto

   com a ameaça de escala percebida: afinal, a automação não elimina os humanos; em vez disso, nos desafia a reafirmar as necessidades humanas em todas as escalas, desde a gênese de uma ideia individual até as implantações massivas em nome de uma base de usuários global. "Remarkably, the human aspects of human-computer systems only grow alongside the perceived menace of scale: it turns out that automation doesn’t eliminate humans, after all; rather, it challenges us to reassert human needs across all scales, from the genesis of an individual idea to the massive deployments on behalf of a global user base." - Mark Burgess - The Site Reliability Workbook

10. ATENÇÃO!

11. Delegar a verificação de segurança não garante e exime a

    necessidade de avaliar a segurança no estado atual e testar novas melhores mesmo que manualmente.

12. Primeiros Passos Nunca é tarde para começar!

13. Conheça vulnerabilidades • OWASP Top 10 • CWE Top 25

14. OWASP Top 10

15. CWE Top 25

16. Possíveis automações • Scanner informações sensíveis • Verificação de dependências

    • Vulnerabilidade de código • Complexidade de código • Teste de Penetração (Pentest) • Logs e Monitoramento

17. Scanner informações sensíveis

18. Scanner informações sensíveis

19. Scanner informações sensíveis • OWASP SEDATED • GitSecrets • RepoSupervisor

    • TruffleHog • GitGuardian • GitHound

20. Verificação de Dependências • OWASP Dependency-Check • NPM Audit •

    Sonatype • Bundler Audit

21. Vulnerabilidade de Código (SAST) • Bandit • Brakeman • CheckMarx

    • FindSecBugs

22. PenTest (DAST) • Arachni • OWASP Zed Attack Proxy

23. Logging e Alertas • AlertManager • ElasticSearch & Kibana •

    Splunk • CloudWatch

24. Conclusão Começar a ter processos automatizados com foco em segurança

    é melhor do que ter nenhum.

25. Obrigada! Marylly Araújo Silva [email protected] https://www.linkedin.com/in/marylly/ Instagram: @MaryllyOficial Twitter: @MaryllyOficial

26. Referências Foto bell hooks: https://www.thoughtco.com/bell-hooks-biography-3530371 Banco de Imagens: https://www.flickr.com/photos/wocintechchat Hack

    Brief: Uber Paid Off Hackers to Hide a 57-Million User Data Breach: https://www.wired.com/story/uber-paid-off-hackers-to-hide-a-57-million-user-data-breach/ OWASP Top 10: https://owasp.org/www-project-top-ten/ OWASP SEDATED GitHub Repository: https://github.com/OWASP/SEDATED OWASP SEDATED - Simeon Cloutier & Dennis Kennedy: https://www.youtube.com/watch?v=mNjIhCq4Qfw DXC spills AWS private keys on public GitHub: https://www.theregister.com/2017/11/14/dxc_github_aws_keys_leaked/ Equifax Data Breach Impacts 143 Million Americans: https://www.forbes.com/sites/leemathews/2017/09/07/equifax-data-breach-impacts-143-million-americans/?sh=6d0fd408356f SKY Brasil Exposes 32 Million Customer Records: https://www.bleepingcomputer.com/news/security/sky-brasil-exposes-32-million-customer-records/ World's Biggest Data Breaches & Hacks:https://informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/

27. Referências 2020 CWE Top 25 Most Dangerous Software Weaknesses: https://cwe.mitre.org/top25/archive/2020/2020_cwe_top25.html

    GitSecrets: https://github.com/awslabs/git-secrets RepoSupervisor: https://github.com/auth0/repo-supervisor TruffleHog: https://github.com/dxa4481/truffleHog GitGuardian: https://www.gitguardian.com/monitor-public-github-for-secrets How to Scan GitHub Repository for Credentials?: https://geekflare.com/github-credentials-scanner/ Top GitHub Dorks and Tools Used to Scan GitHub Repositories for Sensitive Data: https://securitytrails.com/blog/github-dorks National Vulnerability Database: https://nvd.nist.gov/ Bandit: https://github.com/PyCQA/bandit Brakeman: https://brakemanscanner.org/ CheckMarx: https://www.checkmarx.com/ FindSecBugs: https://find-sec-bugs.github.io/

28. Referências GolangCI-lint: https://golangci-lint.run/ HuskkyCi: https://huskyci.opensource.globo.com/ Sonarqube: https://www.sonarqube.org/ Arachni: https://www.arachni-scanner.com/ OWASP

    Zed Attack Proxy: https://www.zaproxy.org/
29. None