Save 37% off PRO during our Black Friday Sale! »

Cosa c'è che non va? - Viaggio verso il Nirvana del SSDLC

Cosa c'è che non va? - Viaggio verso il Nirvana del SSDLC

Nel nostro lavoro siamo costretti ad inseguire sviluppatore, marketing e clienti interni. Non dormono mai e proprio la loro insonnia è uno dei motivi che porta gli utenti ad avere in mano codice non sicuro. Tutto il processo di messa in sicurezza di un'applicazione ha evidenti problemi. In questo talk, passeremo in rassegna i principali miti, gli errori che vengono commessi ogni giorno e anche le credenze popolari che aleggiano attorno a penetration test applicativi e code review. Lo scopo è quello di raggiungere il #nirvana dell'#appsec... o almeno, intravedere la via dell'illuminazione.

857c770ccb0a8e869994f663f09b22ec?s=128

Paolo Perego

October 29, 2016
Tweet

Transcript

  1. Cosa c’è che non va? Viaggio verso il Nirvana del

    SSDLC
  2. $ whoami • 15 anni nell’industria #itsec • Tech blogger

    @codiceinsicuro • ❤ sviluppare security source code scanners (Owasp Orizon, dawnscanner) • ❤ tenere talk su temi di #appsec • Seguimi su @thesp0nge
  3. Agenda • Mentre mi vedrete agitare il WiiMote: • Rideremo

    sui miti che non permettono alle persone del mondo IT di parlare tra di loro • Percorreremo un viaggio verso il SSDLC • Dovrete risolvere qualche quiz • Alla fine, tornerete a casa e da Lunedì trasformerete il modo di lavorare vostro e dei vostri colleghi
  4. Lui è peggio di me…

  5. Security è composta da persone strane https://flic.kr/p/bFZpyg

  6. I miei DevOps sono pigri https://flic.kr/p/ciAMaS

  7. Gli sviluppatori scrivono software a caso https://flic.kr/p/djnyxR

  8. Prima di partire

  9. Condividere la conoscenza https://flic.kr/p/fKcKs2

  10. Create e consolidate processi https://flic.kr/p/fzBciZ

  11. Dare qualche regola base https://flic.kr/p/mLxFGK

  12. None
  13. Crea il tuo SSDLC

  14. Vulnerability Management https://flic.kr/p/9v7Kgx

  15. Code review https://flic.kr/p/7Hs5hc

  16. Penetration test https://flic.kr/p/6Ry49m

  17. None
  18. Preoccupati di avere dei feedback https://flic.kr/p/3UaCt1

  19. Riassumendo • Abbiamo creato awareness • Abbiamo creato policy e

    processi • Abbiamo istituito momenti di test formali • Gestiamo i feedback a fronte delle nostre vulnerabilità
  20. Chi pensa che siamo arrivati al SSDLC? https://flic.kr/p/91eDQQ

  21. L’SSDLC è il viaggio stesso https://flic.kr/p/oxmVct

  22. Consigli bonus

  23. Siate creativi https://flic.kr/p/8Fmmcs

  24. Non abbiate pregiudizi https://flic.kr/p/5AzKUs

  25. Siate competitivi https://flic.kr/p/cNAZUL

  26. Domande?

  27. Grazie!