Secure Code Review Juliana Gaioso @juligaioso hey@julianagaioso.wtf boas práticas, processos e ferramentas

Programo desde os 11 anos de idade; Estudei Engenharia de Computação e Engenharia Elétrica @ UFG; Formada em Análise de Sistemas @ PUC-GO; Pós Graduanda em Arquitetura de Software e em Segurança Ofensiva; Desenvolvimento Web, Automação Industrial e IoT; Segurança de Aplicações e produtos; Entusiasta de Open Source / Open Knowledge; Enxadrista, enóloga, maker;

Resumo Introdução a Segurança Code Review no SDLC Inserindo Segurança no code review Automatizando o SCR

O que é segurança?

Code review

Code review (sometimes referred to as peer review) is a software quality assurance activity in which one or more people check a program, mainly by viewing and reading parts of its source code, either after implementation or as an interruption of implementation. At least one of the persons must not have authored the code. The persons performing the checking, excluding the author, are called "reviewers". (en.wikipédia.org/wiki/code_review, acesso em 28/01/2024)

Identificar erros Melhorar a qualidade do código Promover boas práticas Garantir que o código esteja em conformidade com os padrões estabelecidos pela equipe.

No content

Make it safe.

Ter assessments de segurança bem definidos; Treinar devs para entender e replicar segurança; Tratar segurança como uma qualidade do código;

OWASP Top 10; Secure Coding Dojo; Secure Coding Practices-Quick Reference Guide; Training PentesterLab; CodeBashing; FreeCodeCamp; Reports CVEs; CWEs; Zero-days;

Automatizando o Code Review SAST SCA

SAST Economia de tempo (milhares de linhas de código analisadas em segundos); Integração com CI/CD e IDE - mais presença no dia a dia do desenvolvedor. Static Application Security Testing

SAST Linguagem; Falsos Positivos; Valor ($$); Integrações Static Application Security Testing

SAST Checkmarx [Pay] Semgrep [Pay] Snyk [Pay] Veracode [Pay] Horus [OpenSource] Safety [OpenSource] ShiftLeft Scan [OpenSource] Static Application Security Testing

SCA Bibliotecas terceiras, infraestruturas, dependências; Geralmente são integradas ao SAST. Software Composition Analysis

Processos

No content

Keep it real.

Security Champions; Continuous Security;

Dúvidas?

Extras: Awesome Secure Code Review Awesome DevSecOps Awesome Threat Modeling

Obrigada!