Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Cosa c'è che non va? - Viaggio verso il Nirvana del SSDLC

Cosa c'è che non va? - Viaggio verso il Nirvana del SSDLC

Nel nostro lavoro siamo costretti ad inseguire sviluppatore, marketing e clienti interni. Non dormono mai e proprio la loro insonnia è uno dei motivi che porta gli utenti ad avere in mano codice non sicuro. Tutto il processo di messa in sicurezza di un'applicazione ha evidenti problemi. In questo talk, passeremo in rassegna i principali miti, gli errori che vengono commessi ogni giorno e anche le credenze popolari che aleggiano attorno a penetration test applicativi e code review. Lo scopo è quello di raggiungere il #nirvana dell'#appsec... o almeno, intravedere la via dell'illuminazione.

Paolo Perego

October 29, 2016
Tweet

More Decks by Paolo Perego

Other Decks in Technology

Transcript

  1. Cosa c’è che non va?
    Viaggio verso il Nirvana del SSDLC

    View full-size slide

  2. $ whoami
    • 15 anni nell’industria #itsec
    • Tech blogger @codiceinsicuro
    • ❤ sviluppare security source
    code scanners (Owasp Orizon,
    dawnscanner)
    • ❤ tenere talk su temi di
    #appsec
    • Seguimi su @thesp0nge

    View full-size slide

  3. Agenda
    • Mentre mi vedrete agitare il WiiMote:
    • Rideremo sui miti che non permettono alle persone del
    mondo IT di parlare tra di loro
    • Percorreremo un viaggio verso il SSDLC
    • Dovrete risolvere qualche quiz
    • Alla fine, tornerete a casa e da Lunedì trasformerete il
    modo di lavorare vostro e dei vostri colleghi

    View full-size slide

  4. Lui è peggio di me…

    View full-size slide

  5. Security è composta da persone strane
    https://flic.kr/p/bFZpyg

    View full-size slide

  6. I miei DevOps sono pigri
    https://flic.kr/p/ciAMaS

    View full-size slide

  7. Gli sviluppatori scrivono software a caso
    https://flic.kr/p/djnyxR

    View full-size slide

  8. Prima di partire

    View full-size slide

  9. Condividere la conoscenza
    https://flic.kr/p/fKcKs2

    View full-size slide

  10. Create e consolidate processi
    https://flic.kr/p/fzBciZ

    View full-size slide

  11. Dare qualche regola base
    https://flic.kr/p/mLxFGK

    View full-size slide

  12. Crea il tuo SSDLC

    View full-size slide

  13. Vulnerability Management
    https://flic.kr/p/9v7Kgx

    View full-size slide

  14. Code review
    https://flic.kr/p/7Hs5hc

    View full-size slide

  15. Penetration test
    https://flic.kr/p/6Ry49m

    View full-size slide

  16. Preoccupati di avere dei feedback
    https://flic.kr/p/3UaCt1

    View full-size slide

  17. Riassumendo
    • Abbiamo creato awareness
    • Abbiamo creato policy e
    processi
    • Abbiamo istituito momenti di
    test formali
    • Gestiamo i feedback a fronte
    delle nostre vulnerabilità

    View full-size slide

  18. Chi pensa che siamo arrivati al SSDLC?
    https://flic.kr/p/91eDQQ

    View full-size slide

  19. L’SSDLC è il viaggio stesso
    https://flic.kr/p/oxmVct

    View full-size slide

  20. Consigli bonus

    View full-size slide

  21. Siate creativi
    https://flic.kr/p/8Fmmcs

    View full-size slide

  22. Non abbiate pregiudizi
    https://flic.kr/p/5AzKUs

    View full-size slide

  23. Siate competitivi
    https://flic.kr/p/cNAZUL

    View full-size slide