Tweet
Tweet

Slide 1

Slide 1 text

Projetos OWASP Ferramentas e metodologias para o desenvolvimento de software seguro

Slide 2

Slide 2 text

Sobre mim! Fernando Silva Application Security Analyst

Slide 3

Slide 3 text

Porto Alegre Chapter

Slide 4

Slide 4 text

Capítulos OWASP Os Capítulos (Chapters) são grupos regionais da OWASP, que tem como objetivo fomentar localmente a cultura da segurança de aplicações através da realização de no mínimo 4 eventos por ano.

Slide 5

Slide 5 text

OWASP no Mundo

Slide 6

Slide 6 text

OWASP no Brasil (14)

Slide 7

Slide 7 text

Testes buscando identificar bugs e garantir que os requisitos foram implementados Ciclo de Vida do Desenvolvimento de Software Processo SDLC Definição de requisitos para desenvolvimento da solução Elaboração de um plano para atender os requisitos estabelecidos Construção do código para implementação dos requisitos Implantação do software em produção Manutenção do software em produção

Slide 8

Slide 8 text

Segurança no Ciclo de Desenvolvimento Seguro Fonte: National Institute of Standards and Technology (NIST) Porque implementar segurança no ciclo de desenvolvimento? Um estudo do Instituto Nacional de Padrões e Tecnologia (NIST) desenvolveu uma estimativa que mostra o custo da correção de vulnerabilidades em vários estágios de desenvolvimento. O gráfico ajuda a visualizar como o esforço na detecção e correção de vulnerabilidades aumenta à medida que o software passa pelas cinco grandes fases de desenvolvimento de software.

Slide 9

Slide 9 text

SDLC, S-SDLC e Shift Left Shift-Left Security significa mover o início da fase de tratar segurança para esquerda, ou seja, ao invés de segurança ser tratada nos estágios finais, as atividades de segurança passam a ocorrer mais cedo, e perduram durante todo o ciclo de vida do desenvolvimento de software. Processo SDLC Processo S-SDLC

Slide 10

Slide 10 text

Projetos OWASP - Mais de 260 projetos

Slide 11

Slide 11 text

Requisitos

Slide 12

Slide 12 text

Requisitos - ASVS Fonte: https://owasp.org/www-project-application-security-verification-standard/

Slide 13

Slide 13 text

Requisitos - MASVS e MASTG Fonte: https://owasp.org/www-project-mobile-app-security/

Slide 14

Slide 14 text

Requisitos - SecurityRAT Security Requirement Automation Tool Fonte: https://owasp.org/www-project-securityrat/

Slide 15

Slide 15 text

Requisitos - OWASP SKF OWASP Security Knowledge Framework Fonte: https://owasp.org/www-project-security-knowledge-framework/

Slide 16

Slide 16 text

Projeto

Slide 17

Slide 17 text

Projeto - Modelagem de Ameaças OWASP Threat Dragon Fonte: https://owasp.org/www-project-threat-dragon/

Slide 18

Slide 18 text

Projeto - Modelagem de Ameaças OWASP pytm Fonte: https://owasp.org/www-project-pytm/

Slide 19

Slide 19 text

Projeto - Modelagem de Ameaças OWASP Cornucopia Fonte: https://owasp.org/www-project-cornucopia/

Slide 20

Slide 20 text

Implementação

Slide 21

Slide 21 text

Implementação - Documentação OWASP Proactive Controls Fonte: https://owasp.org/www-project-proactive-controls/

Slide 22

Slide 22 text

Implementação - Documentação OWASP Go Secure Coding Practices Guide Fonte: https://owasp.org/www-project-go-secure-coding-practices-guide/

Slide 23

Slide 23 text

Implementação - Documentação OWASP Cheat Sheet Series Ponte entre os projetos OWASP Proactive Controls, OWASP ASVS e OWASP CSS A série OWASP Cheat Sheet foi criada para fornecer uma coleção concisa de informações de alto valor sobre tópicos específicos de segurança de aplicativos. Essas dicas foram criadas por vários profissionais de segurança de aplicativos com experiência em tópicos específicos. Fonte: https://cheatsheetseries.owasp.org/

Slide 24

Slide 24 text

Implementação - Dependências OWASP Dependency-Check Fonte: https://owasp.org/www-project-dependency-check/

Slide 25

Slide 25 text

Implementação - Dependências OWASP Dependency-Track Fonte: https://owasp.org/www-project-dependency-track/

Slide 26

Slide 26 text

Implementação - Bibliotecas de Segurança OWASP Enterprise Security API (ESAPI) Fonte: https://owasp.org/www-project-enterprise-security-api/

Slide 27

Slide 27 text

Implementação - Bibliotecas de Segurança OWASP CSRFGuard Fonte: https://owasp.org/www-project-csrfguard/

Slide 28

Slide 28 text

Verificação

Slide 29

Slide 29 text

Verificação - Guias OWASP Web Security Testing Guide Fonte: https://owasp.org/www-project-web-security-testing-guide/

Slide 30

Slide 30 text

Verificação - Guias OWASP Mobile Application Security Fonte: https://owasp.org/www-project-mobile-app-security/

Slide 31

Slide 31 text

Verificação - Ferramentas OWASP Code Pulse Fonte: https://owasp.org/www-project-code-pulse/

Slide 32

Slide 32 text

Verificação - Ferramentas OWASP Amass Fonte: https://owasp.org/www-project-amass/

Slide 33

Slide 33 text

Verificação - Ferramentas OWASP Zed Attack Proxy (ZAP) Fonte: https://owasp.org/www-project-zap/

Slide 34

Slide 34 text

Verificação - Ferramentas OWASP OWTF (Offensive Web Testing Framework) Fonte: https://owasp.org/www-project-owtf/

Slide 35

Slide 35 text

Verificação - Ferramentas OWASP Nettacker Fonte: https://owasp.org/www-project-nettacker/

Slide 36

Slide 36 text

Verificação - Frameworks OWASP Glue - Application Security Automation Fonte: https://github.com/OWASP/glue

Slide 37

Slide 37 text

Verificação - Frameworks OWASP Dracon - Security scanning & static analysis tool Fonte: https://github.com/thought-machine/dracon/

Slide 38

Slide 38 text

Verificação - Gestão de Vulnerabilidades OWASP DefectDojo Fonte: https://owasp.org/www-project-defectdojo/

Slide 39

Slide 39 text

Avaliação de Gaps

Slide 40

Slide 40 text

Avaliação de Gaps OWASP SAMM - Software Assurance Maturity Model Fonte: https://owaspsamm.org/

Slide 41

Slide 41 text

Avaliação de Gaps - ASVS Fonte: https://owasp.org/www-project-application-security-verification-standard/

Slide 42

Slide 42 text

Avaliação de Gaps - MASVS e MASTG Fonte: https://owasp.org/www-project-mobile-app-security/

Slide 43

Slide 43 text

Treinamento/Educação

Slide 44

Slide 44 text

Treinamento/Educação OWASP Top Ten Fonte: https://owasp.org/www-project-top-ten/

Slide 45

Slide 45 text

Treinamento/Educação OWASP API Top Ten Fonte: https://owasp.org/www-project-api-security/

Slide 46

Slide 46 text

Treinamento/Educação OWASP Mobile Top 10 Fonte: https://owasp.org/www-project-mobile-top-10/

Slide 47

Slide 47 text

Treinamento/Educação OWASP Juice Shop Fonte: https://owasp.org/www-project-juice-shop/

Slide 48

Slide 48 text

Treinamento/Educação OWASP WebGoat - A deliberately insecure Web Application Fonte: https://owasp.org/www-project-webgoat/

Slide 49

Slide 49 text

Treinamento/Educação OWASP Snakes And Ladders Fonte: https://owasp.org/www-project-snakes-and-ladders/

Slide 50

Slide 50 text

Treinamento/Educação OWASP Security Shepherd Fonte: https://owasp.org/www-project-security-shepherd/

Slide 51

Slide 51 text

Construção de Cultura e Amadurecimento de Processos

Slide 52

Slide 52 text

Construção de Cultura e Amadurecimento de Processos Security Champions Playbook Fonte: https://github.com/c0rdis/security-champions-playbook

Slide 53

Slide 53 text

Operação

Slide 54

Slide 54 text

Operação Fonte: https://owasp.org/www-project-modsecurity-core-rule-set/

Slide 55

Slide 55 text

Segurança no Ciclo de Desenvolvimento Seguro O que te impede de implementar segurança no ciclo de desenvolvimento? Fonte: National Institute of Standards and Technology (NIST)

Slide 56

Slide 56 text

DÚVIDAS? fernando.poa.br speakerdeck.com/fernandodebrando Perguntas?

Slide 57

Slide 57 text

Porto Alegre Chapter Em dezembro teremos o nosso próximo encontro, será no dia 01/12 (quinta-feira), a partir das 19h30, online em nosso canal do YouTube. Confira a agenda: 19h30-20h10 20:20-21:00 Contamos com vocês! "E o seu app, está seguro?" Rennan Possas (Application Security Analyst na XP Inc) "Como integrar ferramentas de scan ao DefectDojo utilizando PHP para enviar reports por API" Eduardo Machado (Analista de Segurança da Informação na KingHost)

Slide 58

Slide 58 text

Participe do capítulo OWASP POA owasp.org/www-chapter-porto-alegre t.me/porto_alegre_owasp meetup.com/pt-BR/OWASP-Porto-Alegre-Chapter OWASP Chapter Porto Alegre