Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Cosa c'è che non va? - Viaggio verso il Nirvana del SSDLC

Paolo Perego
October 29, 2016
Technology
0
46

Cosa c'è che non va? - Viaggio verso il Nirvana del SSDLC

Nel nostro lavoro siamo costretti ad inseguire sviluppatore, marketing e clienti interni. Non dormono mai e proprio la loro insonnia è uno dei motivi che porta gli utenti ad avere in mano codice non sicuro. Tutto il processo di messa in sicurezza di un'applicazione ha evidenti problemi. In questo talk, passeremo in rassegna i principali miti, gli errori che vengono commessi ogni giorno e anche le credenze popolari che aleggiano attorno a penetration test applicativi e code review. Lo scopo è quello di raggiungere il #nirvana dell'#appsec... o almeno, intravedere la via dell'illuminazione.

Paolo Perego

October 29, 2016
Tweet

More Decks by Paolo Perego

See All by Paolo Perego
(opensource == secure)? Yes, if you audit it!
thesp0nge
0
140
Vulnerability assessment and secure coding in Web Applications
thesp0nge
0
380
Put yourself in the appsec pipeline
thesp0nge
0
92
Your web application seen from the hell's kitchen
thesp0nge
1
150
La sicurezza ai tempi dell'ASAP
thesp0nge
0
73
Io faccio application security e tu?
thesp0nge
1
39
Solid as Diamond: use ruby on a web application penetration test (for www.fdtict.it)
thesp0nge
4
280
Solid as Diamond: using ruby in a web application penetration test
thesp0nge
1
730
Ruby for penetration tester
thesp0nge
6
2k

Other Decks in Technology

See All in Technology
様々な環境へコマンドラインツールを提供する上での苦労とその対策 / YAPC::Kyoto 2023
konboi
0
110
知識拡張型言語モデルLUKE
ikuyamada
1
270
八王子からお届けするノベルティ - YAPC::Kyoto 2023
uzulla
0
250
ワイヤレス電力伝送について
sbtechnight
PRO
0
370
SNS投稿を使ってクラウド障害を検知してみた
sbtechnight
PRO
0
340
Grafana Lokiで始めるPodログ/k8s Events管理
nutslove
0
140
チーム開発における様々なボトルネックの整理 / Organization of bottlenecks in Team Development
stefafafan
0
380
可読性を高めるためのコードレビューテクニック
sbtechnight
PRO
0
400
DHCPオプションセットって何だろう??
amarelo_n24
1
120
dbtでデータ品質活動
foursue
5
1.2k
Pwning Old WebKit for Fun and Profit
hhc0null
0
290
大規模レガシーテストを 倒すための CI基盤の作り方 / #CICD2023
udzura
3
1.1k

Featured

See All Featured
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
31
20k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
6
910
The Cult of Friendly URLs
andyhume
70
5.1k
From Idea to $5000 a Month in 5 Months
shpigford
374
44k
Embracing the Ebb and Flow
colly
76
3.6k
Teambox: Starting and Learning
jrom
124
7.9k
Web development in the modern age
philhawksworth
197
9.6k
Clear Off the Table
cherdarchuk
79
290k
YesSQL, Process and Tooling at Scale
rocio
159
12k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
500
130k
Code Review Best Practice
trishagee
50
12k
WebSockets: Embracing the real-time Web
robhawkes
58
6.1k

Transcript

  1. Cosa c’è che non va?
    Viaggio verso il Nirvana del SSDLC

    View Slide

  2. $ whoami
    • 15 anni nell’industria #itsec
    • Tech blogger @codiceinsicuro
    • ❤ sviluppare security source
    code scanners (Owasp Orizon,
    dawnscanner)
    • ❤ tenere talk su temi di
    #appsec
    • Seguimi su @thesp0nge

    View Slide

  3. Agenda
    • Mentre mi vedrete agitare il WiiMote:
    • Rideremo sui miti che non permettono alle persone del
    mondo IT di parlare tra di loro
    • Percorreremo un viaggio verso il SSDLC
    • Dovrete risolvere qualche quiz
    • Alla fine, tornerete a casa e da Lunedì trasformerete il
    modo di lavorare vostro e dei vostri colleghi

    View Slide

  4. Lui è peggio di me…

    View Slide

  5. Security è composta da persone strane
    https://flic.kr/p/bFZpyg

    View Slide

  6. I miei DevOps sono pigri
    https://flic.kr/p/ciAMaS

    View Slide

  7. Gli sviluppatori scrivono software a caso
    https://flic.kr/p/djnyxR

    View Slide

  8. Prima di partire

    View Slide

  9. Condividere la conoscenza
    https://flic.kr/p/fKcKs2

    View Slide

  10. Create e consolidate processi
    https://flic.kr/p/fzBciZ

    View Slide

  11. Dare qualche regola base
    https://flic.kr/p/mLxFGK

    View Slide

  12. View Slide

  13. Crea il tuo SSDLC

    View Slide

  14. Vulnerability Management
    https://flic.kr/p/9v7Kgx

    View Slide

  15. Code review
    https://flic.kr/p/7Hs5hc

    View Slide

  16. Penetration test
    https://flic.kr/p/6Ry49m

    View Slide

  17. View Slide

  18. Preoccupati di avere dei feedback
    https://flic.kr/p/3UaCt1

    View Slide

  19. Riassumendo
    • Abbiamo creato awareness
    • Abbiamo creato policy e
    processi
    • Abbiamo istituito momenti di
    test formali
    • Gestiamo i feedback a fronte
    delle nostre vulnerabilità

    View Slide

  20. Chi pensa che siamo arrivati al SSDLC?
    https://flic.kr/p/91eDQQ

    View Slide

  21. L’SSDLC è il viaggio stesso
    https://flic.kr/p/oxmVct

    View Slide

  22. Consigli bonus

    View Slide

  23. Siate creativi
    https://flic.kr/p/8Fmmcs

    View Slide

  24. Non abbiate pregiudizi
    https://flic.kr/p/5AzKUs

    View Slide

  25. Siate competitivi
    https://flic.kr/p/cNAZUL

    View Slide

  26. Domande?

    View Slide

  27. Grazie!

    View Slide