Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Desenvolvimento seguro em seus projetos Java

Maximillian Arruda
September 18, 2021
Programming
0
57

Desenvolvimento seguro em seus projetos Java

Palestra realizada no evento Cloud Conference Day - 4ª Edição
Data: 18/09/2021 as 01:00 PM
Track: Java
Palestrantes:
- Maximillian Arruda - Twitter: @maxdearruda
- Wilian Gabriel da Silva - Twitter: @wiliangds
Codigo fonte: https://github.com/dearrudam/awesome-app-test

Maximillian Arruda

September 18, 2021
Tweet

Other Decks in Programming

See All in Programming
Scalable Customer Journey Orchestration (CJO)
lewuathe
0
420
Three ways to use AI on Android: The Good, the Bad and the Ugly
marxallski
0
110
障害対応を起点としたもっといい開発と運用のサイクル作りのためにできること / Hatena Enginner Seminar #29
polamjag
0
380
Domain-Driven Transformation
hschwentner
2
1.5k
if constexpr文はテンプレート世界のラムダ式である
faithandbrave
3
670
Build Apps for iOS, Android & Desktop in 100% Kotlin With Compose Multiplatform (mDevCamp 2024)
zsmb
0
430
初心者のためのRubyKaigi入門/RubyKaigi Introduction
a_matsuda
8
1.4k
CREってこういうこと? 体験入社 - 提案資料 - / what-is-cre-trial-employment
shinden
1
510
効率化に挑戦してみたらモバイル開発が少し快適になった話
ryunakayama
0
140
Goのエラースタックトレースの歴史と今後
sonatard
10
1.8k
スキーマ駆動開発による品質とスピードの両立 - 私達は何故、スキーマを書くのか
kentaroutakeda
0
180
Ruby Pattern Matching
bkuhlmann
0
930

Featured

See All Featured
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
20
1.8k
The Pragmatic Product Professional
lauravandoore
26
5.8k
What's in a price? How to price your products and services
michaelherold
238
11k
For a Future-Friendly Web
brad_frost
172
9k
Rails Girls Zürich Keynote
gr2m
91
13k
Done Done
chrislema
178
15k
The Cost Of JavaScript in 2023
addyosmani
21
3.9k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
34
8.9k
The Language of Interfaces
destraynor
151
23k
YesSQL, Process and Tooling at Scale
rocio
165
13k
Keith and Marios Guide to Fast Websites
keithpitt
408
22k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
358
22k

Transcript

  1. None

  2. Desenvolvimento seguro em seus projetos Java

  3. Maximillian Arruda @maxdearruda Quem sou ?

  4. Wilian Gabriel da Silva @wiliangds Quem sou ?

  5. None

  6. Alta demanda por aplicações desenvolvidas em menos tempo...

  7. Alta demanda por aplicações desenvolvidas em menos tempo... Com prazo

    curto... focam-se nos testes e postergam questões de segurança...

  8. Alta demanda por aplicações desenvolvidas em menos tempo... Com prazo

    curto... focam-se nos testes e postergam questões de segurança... No fim, códigos mal estruturados e com vulnerabilidades em produção...

  9. Alta demanda por aplicações desenvolvidas em menos tempo... Com prazo

    curto... focam-se nos testes e postergam questões de segurança... No fim, códigos mal estruturados e com vulnerabilidades em produção... Como obter qualidade, segurança e rapidez para atender o mercado?
  10. None

  11. Com o conceito DevSecOps

  12. Com o conceito DevSecOps Entra em cena as ferramentas de

    segurança:

  13. Com o conceito DevSecOps Entra em cena as ferramentas de

    segurança: SAST, DAST, IAST e RASP.
  14. None

  15. O que é SAST ?

  16. O que é SAST ? Static Application Security Testing

  17. O que é SAST ? Static Application Security Testing Análise

    de código ou binário sem a necessidade de executar a aplicação;

  18. O que é SAST ? Static Application Security Testing Análise

    de código ou binário sem a necessidade de executar a aplicação; Verificações podem ser executadas com frequência durante todo o ciclo de desenvolvimento da aplicação;

  19. O que é SAST ? Static Application Security Testing Análise

    de código ou binário sem a necessidade de executar a aplicação; Verificações podem ser executadas com frequência durante todo o ciclo de desenvolvimento da aplicação; Rápida detecção de vulnerabilidades possibilitando a correção antes mesmo do código ir para produção.
  20. None

  21. O que é DAST ?

  22. O que é DAST ? Dynamic Application Security Testing

  23. O que é DAST ? Dynamic Application Security Testing Testam

    as interfaces expostas da aplicação para buscar vulnerabilidades visíveis externamente;

  24. O que é DAST ? Dynamic Application Security Testing Testam

    as interfaces expostas da aplicação para buscar vulnerabilidades visíveis externamente; Aplicação necessita estar em execução;

  25. O que é DAST ? Dynamic Application Security Testing Testam

    as interfaces expostas da aplicação para buscar vulnerabilidades visíveis externamente; Aplicação necessita estar em execução; Depentem de especialistas para escrever os testes, Porém, uma vez feitos, podem ser 100% automatizados.
  26. None

  27. O que é IAST?

  28. O que é IAST? Interactive Application Security Testing

  29. O que é IAST? Interactive Application Security Testing Combinam os

    modelos SAST e DAST para apresentarem os melhores resultados.

  30. O que é IAST? Interactive Application Security Testing Combinam os

    modelos SAST e DAST para apresentarem os melhores resultados. Através da interação humana, é detectado vulnerabilidades mais próximas da realidade

  31. O que é IAST? Interactive Application Security Testing Combinam os

    modelos SAST e DAST para apresentarem os melhores resultados. Através da interação humana, é detectado vulnerabilidades mais próximas da realidade onde, analistas de segurança, podem classificar a prioridade das vulnerabilidades que devem ser remediadas de maneira imediata e quais são falsos positivos.
  32. None

  33. O que é RASP?

  34. O que é RASP? Runtime Application Self Protection

  35. O que é RASP? Runtime Application Self Protection São ferramentas

    usadas em ambiente de produção que se integram com a aplicação alvo;

  36. O que é RASP? Runtime Application Self Protection São ferramentas

    usadas em ambiente de produção que se integram com a aplicação alvo; analisam o tráfego de entrada e saída e o comportamento do usuário final afim de evitarem ataques a segurança;

  37. O que é RASP? Runtime Application Self Protection São ferramentas

    usadas em ambiente de produção que se integram com a aplicação alvo; Quando detecta alguma vulnerabilidade, alertas não gerados e ações como bloqueio do acesso é realizado para aquele que está efetuando o ataque! analisam o tráfego de entrada e saída e o comportamento do usuário final afim de evitarem ataques a segurança;
  38. None

  39. Então: SAST, ou DAST ou IAST ou RASP?

  40. Então: SAST, ou DAST ou IAST ou RASP? SAST, DAST

    e IAST são ótimas ferramentas e elas se completam.

  41. Então: SAST, ou DAST ou IAST ou RASP? SAST, DAST

    e IAST são ótimas ferramentas e elas se completam. Especialistas recomendam duas ou mais dessas ferramentas, para garantir a melhor cobertura diminuindo que vulnerabilidades entrem em produção

  42. Então: SAST, ou DAST ou IAST ou RASP? SAST, DAST

    e IAST são ótimas ferramentas e elas se completam. RASP monitoram a aplicação em produção contra ataques, então tem uma ação reativa a problemas de vulnerabilidade. especialistas recomendam duas ou mais dessas ferramentas, para garantir a melhor cobertura diminuindo que vulnerabilidades entrem em produção
  43. None

  44. Vamos iniciar nosso desenvolvimento seguro em nosso projeto java Demo

  45. None
  46. None
  47. None

  48. Considerações finais O ponto aqui é: não trate a adoção

    de uma ferramenta como essa como uma barreira ou impedimento no processo de desenvolvimento do software, e sim um como um agregador que trará benefícios com o principal que é você no controle.

  49. Considerações finais

  50. Considerações finais Vejamos a importância quanto à segurança é necessária:

  51. Considerações finais Vejamos a importância quanto à segurança é necessária:

    Os maiores vazamentos de dados do século 21: Yahoo: 3 bilhões de contas Alibaba: 1,1 bilhões de dados de usuários LinkedIn: 700 milhões de usuários Sine Weibo: 538 milhões de contas Facebook: 533 milhões de contas

  52. Considerações finais

  53. Considerações finais Erros "pequenos" trazem grande consequência

  54. Considerações finais Erros "pequenos" trazem grande consequência Vulnerabilidades de código

    Injection Cross-Site Scripting (XSS) Buffer Overflow Broken Authentication Sensitive Data Exposure Broken Access Control

  55. Considerações finais Erros "pequenos" trazem grande consequência Vulnerabilidades de código

    Injection Cross-Site Scripting (XSS) Buffer Overflow Broken Authentication Sensitive Data Exposure Broken Access Control 3 a cada 4 aplicações sofrem algumas dessas vulnerabilidades!

  56. Considerações finais Erros "pequenos" trazem grande consequência

  57. Considerações finais Erros "pequenos" trazem grande consequência Vulnerabilidades em operações

    Senha fraca; Usuários com muitas permissões fornecidas;

  58. Considerações finais Erros "pequenos" trazem grande consequência Vulnerabilidades em operações

    Senha fraca; Usuários com muitas permissões fornecidas; Novos estudos mostram que 75% de Redis servers estão vulneráveis

  59. Referências https://dzone.com/articles/preventing-you-from-being-responsible-for-your-com https://horusec.io/site/ https://www.sec4you.com.br/blog-aplicacoes-seguranca/ https://www.softwaretestinghelp.com/differences-between-sast-dast-iast-and-rasp/ https://www.g2.com/categories/runtime-application-self-protection-rasp https://owasp.org/ https://owasp.org/Top10/ https://cve.mitre.org/ https://cwe.mitre.org/

  60. Obrigado a todos! Maximillian Arruda @maxdearruda Wilian Gabriel da Silva

    @wiliangds