DevCommerce Conference 2016: SecDevOps – Testes contínuos de segurança em aplicações

•

1 gostou•753 visualizações

Marcos Ferreira, Analista de Segurança Sênior do Site Blindado, palestrou sobre "SecDevOps – Testes contínuos de segurança em aplicações", no DevCommerce Conference 2016. O DevCommerce Conference 2016 aconteceu nos dias 06 e 07 de junho de 2016, no Hotel Tivoli em São Paulo-SP http://devcommerce2016.imasters.com.br/

Educação

15 anos de experiência na área de SI
Consultoria de segurança, Análise de vulnerabilidade e
Pentest, Engenharia Social, Incident Response
Voluntário no SANS Institute Top 20
Marcos Ferreira

Agenda
• O que é o SecDevOps?
• Onde e quando é implementado?
• Ferramentas para testes
• Dúvidas
• Contatos

Como funciona o DevOps
• Entrega e implementação contínua
• Não precisa esperar release
• Entrega de features
• Agilidade

Processo atual
• Processos manuais
• Documentos antigos
• Não são ágeis
• Levam muito tempo
Normas
Dev
Testes
Pentest
Scans
Ops
ISO / PCI / OWASP / Políticas

Como começar
• Planeje a segurança
• Traga os desenvolvedores para próximo de
segurança
• Disponibilize ferramentas
• Faça verificações constantes

Implementar sec no processo
Source: https://insights.sei.cmu.edu/sei_blog/2014/12/security-in-continuous-integration.html

SAST, DAST ou RASP?
• Static Application Security Testing (SAST)
• Acesso ao código fonte
• Verificação bem detalhada
• Dynamic Application Security Testing (DAST)
• Baseado em requisições e respostas
• Não precisa ter acesso ao código fonte
• Runtime Application Self-Protection (RASP)
• Identificação e bloqueio de ataques em tempo real
• Integrado diretamente na aplicação

Ferramentas de testes e DevSecOps
GAUNTLT
Hardening Framework
Mittn

Hardening Framework
• Automatic Server Hardening
• Chef, Puppet e Ansible
• OS hardening
• SSH / MySql / PostgreSQL / Apache / Nginx
• Ubuntu / RedHat / CentOS / Debian
http://dev-sec.io/

Clair
• Análise de vulnerabilidade estática
• Containers Appc e Docker
• Ubuntu / RedHat / Debian
https://github.com/coreos/clair

Bdd-Security
• Behavior-Driven Development (BDD)
• Framework escrito Java e based no JBehave e
Selenium 2 (WebDriver)
• Usa o formato Given, When, Then
• Pode ser integrado com Jenkins
• Integração com OWASP ZAP / Nessus
• Não precisa de acesso ao código
https://github.com/continuumsecurity/bdd-security

GAUNTLT
• Behavior-Driven Development (BDD)
• Baseado em ruby
• Usa o formato Given, When, Then
• Integração com Nmap / sqlmap / arachni
http://gauntlt.org/

Mittn
• Projetado no contexto de Continuous Integration
• Baseado em python
• Usa o formato Given, When, Then
• Integração com Burp / sslyze / Radamsa
https://github.com/F-Secure/mittn

Email: marcos.ferreira@siteblindado.com.br
Linkedin: https://br.linkedin.com/in/mferreira
Blog: http://labs.siteblindado.com
Fone: +55 11 3454-3310
Marcos Ferreira
Obrigado!

+55 11 3354-3310
sec@siteblindado.com.br
labs.siteblindado.com

Mais conteúdo relacionado

Mais procurados

Front7 React Native

Newton Angelini

Infraestrutura imutável - A base das aplicações na nuvem

Fernando Ike

Nesta palestra vamos abordar formas de criar um ambiente de desenvolvimento de software mais ágil por meio da utilização e integração das ferramentas Maven 3, Sonar e Hudson. Com isso é possível estímular a eliminação de atividades repetitivas dentro do processo de desenvolvimento além de auxiliar na redução de defeitos e aumentar a qualidade do código produzido. A palestra é montada em ferramentas feitas para a plataforma Java.

Maven 3, Sonar e Hudson

Rodrigo Branas

O Futuro do ASP.NET

Eduardo Pires

Curso AngularJS - Parte 2

Alvaro Viebrantz

Vagrant: Na sua máquina também funciona!

Glauton Vieira

Curso AngularJS - Parte 1

Alvaro Viebrantz

MVP ShowCast 2014 - Desenvolvendo APIs com WebAPI

Andre Baltieri

ASP.NET SignalR + SPA com AngularJS

Waldyr Felix

PWA with Vanilla.js - 7Masters Talk

Igor Luiz Halfeld

Introdução ao docker

Newton Angelini

Microsoft opensource

CDS

Bibliotecas de interface rica no jsf 2

Pablo Nóbrega

Integração Contínua

Alexandre Machado

DevOps Summit Brasil: +10 Ferramentas para Melhorar a Qualidade do seu Software

André Dias

Angular 2, TypeScript e Além

Andre Baltieri

6. apresentacao rp tec com 2018 igor rozani e felipe muniz

Matheus de Lara Calache

3. apresentacao rp tec com 2018 gustavo bernardes

Matheus de Lara Calache

React Native na globo.com

Guilherme Heynemann Bruzzi

DevCommerce Conference 2016: Vantagens e resultados de containers e VMs para ...

iMasters

Mais procurados (20)

Front7 React Native

Infraestrutura imutável - A base das aplicações na nuvem

Maven 3, Sonar e Hudson

O Futuro do ASP.NET

Curso AngularJS - Parte 2

Vagrant: Na sua máquina também funciona!

Curso AngularJS - Parte 1

MVP ShowCast 2014 - Desenvolvendo APIs com WebAPI

ASP.NET SignalR + SPA com AngularJS

PWA with Vanilla.js - 7Masters Talk

Introdução ao docker

Microsoft opensource

Bibliotecas de interface rica no jsf 2

Integração Contínua

DevOps Summit Brasil: +10 Ferramentas para Melhorar a Qualidade do seu Software

Angular 2, TypeScript e Além

6. apresentacao rp tec com 2018 igor rozani e felipe muniz

3. apresentacao rp tec com 2018 gustavo bernardes

React Native na globo.com

DevCommerce Conference 2016: Vantagens e resultados de containers e VMs para ...

Destaque

asaf_shabat_RHCSA7

Asaf Shabat

Slide

Kazki Matsumoto

NGINX User Summit. Wallarm llightning talk

Wallarm

From PHP monolith to polyglot microservices

Kazki Matsumoto

Tomáš Strejček - Velikost týmu vs. monolith a mikroservicy (11. sraz přátel ...

Péhápkaři

These days building applications using microservice approach has become a defacto standard in many cases. Microservices are all about splitting large applications into smaller ones, which means that there must be some sort of communication between them. During this session Martins will go over how event-driven architecture can be applied for communication between various services, describe the pros and cons, and gives real world examples of how it can be used with PHP and other programming languages.

Lighning Talk: Event-Driven architecture for microservices

Martins Sipenko

Matt Ranney, Architect at Uber As Uber has grown, the architecture that powers this platform has gone through many changes. From its simple roots as a PHP program, Uber has grown into a complex distributed system deployed across multiple datacenters using multiple databases and programming languages. This talk will cover the evolution of Uber's architecture and some of the systems we've built to handle the current scaling challenges. Full video here: http://www.microservices.com/matt-ranney-scaling-uber

Microservices Practitioner Summit Jan '15 - Scaling Uber from 1 to 100s of Se...

Ambassador Labs

How to secure your web applications with NGINX

Wallarm

The Hardest Part of Microservices: Your Data - Christian Posta, Red Hat

Ambassador Labs

To view recording of this webinar please use below URL: http://wso2.com/library/webinars/2015/09/event-driven-architecture/ Enterprise systems today are moving towards being dynamic where change has become the norm rather than the exception. Such systems need to be loosely coupled, autonomous, versatile and adaptive. There arises the need to model such systems, and event driven architecture (EDA) is how such systems can be modelled and explained. This webinar will discuss The basics of EDA How it can benefit your enterprise How the WSO2 product stack complements this architectural pattern

Event-Driven Architecture (EDA)

WSO2

Nginx Internals

Joshua Zhu

SOA, service-oriented architectures, burst on the scene in the new millennium as the latest technology to support application growth. In concert with the Web, SOA ushered in new paradigms for structuring enterprise applications. At the Forward Internet Group in London, we are implementing SOA in unusual ways. Rather than a few, businessrelated services being implemented per the original vision, we have developed systems made of myriads of very small, usually shortlived services. In this workshop, we will start by exploring the evolution of SOA implementations by the speaker. In particular, lessons learned from each implementation will be discussed, and reapplication of these lessons on the next implementation. Challenges (and even failures) will be explicitly identified. We will arrive at a model of the current systems: An environment of very small services that are loosely coupled into a complex system. We explore the demise of acceptance tests in this complex environment, and the clever replacement of business metrics in their stead. Finally, we will conclude with the surprising programmer development process impacts of this architecture. Indeed, bedrock principles of Agile have been rendered unnecessary, something that equally surprised us. (Presented at Agile India 2013)

MicroService Architecture

Fred George

On-demand recording: https://nginx.webex.com/nginx/lsr.php?RCID=82f9c75402528464d3625813e313f8a4 The new NGINX Microservices Reference Architecture (MRA) goes into depth on the entire architecture. Join this webinar to explore all three models in the MRA: the Proxy Model, the Router Mesh Model, and the Fabric Model. The Proxy Model gives you a leg up into microservices, including support for API gateways. The Router Mesh Model adds power, with a second server exclusively for microservices support. And the Fabric Model pairs an NGINX Plus instance with every microservice instance for secure SSL/TLS communications between service instances. Check out this webinar to learn about building a secure and scalable microservices app: * When to take the leap into deploying microservices * Why you should consider adopting the MRA for your app * How to choose a model that works for your app * How to start the process of converting a monolith to microservices

The 3 Models in the NGINX Microservices Reference Architecture

NGINX, Inc.

Title: Ansible, best practices. Ansible has taken a prominent place in the configmanagement world. By now many people involved in DevOps have taken a look at it, or done a first project with it. Now it is time to step back and look at quality and craftmanship. Bas Meijer, Ansible ambassador, will talk about Ansible best practices, and will show tips, tricks and examples based on several projects. About the speaker Bas is a systems engineer and software developer and wasted decades on latenight hacking. He is currently helping out 2 enterprises with continuous delivery and devops.

Ansible, best practices

Bas Meijer

How to deploy PHP projects with docker

Ruoshi Ling

Microservices are small services with independent lifecycles that work together. There is an underlying tension in that definition – how independent can you be when you have to be part of a whole? I’ve spent much of the last couple of years trying to understand how to find the right balance, and in this talk/tutorial I’ll be presenting the core seven principles that I think represent what makes microservices tick. After a brief introduction of what microservices are and why they are important, we’ll spend the bulk of the time looking at the principles themselves, wherever possible covering real-world examples and technology: - Modelled around business domain – using techniques from domain-driven design to find service boundaries leads to better team alignment and more stable service boundaries, avoiding expensive cross-service changes. - Culture of automation – all organisations that use microservices at scale have strong cultures of automation. We’ll look at some of their stories and think about which sort of automation is key. - Hide implementation details – how do you hide the detail inside each service to avoid coupling, and ensure each service retains its autonomous nature? - Decentralize all the things! – we have to push power down as far as we can, and this goes for both the system and organisational architecture. We’ll look at everything from autonomous self-contained teams and internal open source, to using choreographed systems to handle long-lived business transactions. - Deploy independently – this is all about being able to deploy safely. So we’ll cover everything from deployment models to consumer-driven contracts and the importance of separating deployment from release. - Isolate failure – just making a system distributed doesn’t make it more stable than a monolithic application. So what do you need to look for? - Highly observable – we need to understand the health of a single service, but also the whole ecosystem. How? In terms of learning outcomes, beginners will get a sense of what microservices are and what makes them different, whereas more experienced practitioners will get insight and practical advice into how to implement them.

Principles of microservices velocity

Sam Newman

These slides use concepts from my (Jeff Funk) course entitled Biz Models for Hi-Tech Products to analyze the business model for Uber’s taxi service. Uber’s service enables anyone to provide taxi services and it provides dynamic pricing for better matching of supply and demand. Its value proposition for potential drivers is the opportunity to work as driver on their own hours. Its value proposition for user to lower taxi fares during most times of the day and a higher supply of taxis (and higher prices) during peak demand. The customers are tech-savvy and smart phone users who value their time. Uber receives payments directly from customers and keeps a percentage of these payments as its income. Uber’s patents for a demand-price algorithm represent a barrier of entry and thus a method of strategic control.

Uber's Business Model

Jeffrey Funk Business Models

Destaque (17)

asaf_shabat_RHCSA7

Slide

NGINX User Summit. Wallarm llightning talk

From PHP monolith to polyglot microservices

Tomáš Strejček - Velikost týmu vs. monolith a mikroservicy (11. sraz přátel ...

Lighning Talk: Event-Driven architecture for microservices

Microservices Practitioner Summit Jan '15 - Scaling Uber from 1 to 100s of Se...

How to secure your web applications with NGINX

The Hardest Part of Microservices: Your Data - Christian Posta, Red Hat

Event-Driven Architecture (EDA)

Nginx Internals

MicroService Architecture

The 3 Models in the NGINX Microservices Reference Architecture

Ansible, best practices

How to deploy PHP projects with docker

Principles of microservices velocity

Uber's Business Model

Semelhante a DevCommerce Conference 2016: SecDevOps – Testes contínuos de segurança em aplicações

A era dos ciclos anuais e semestrais de entrega de software está ficando para trás. Empresas líderes em seu segmento de mercado entregam software de alta qualidade em ciclos de poucos dias, em alguns casos, de poucas horas. Nesta sessão, iremos apresentar como você pode iniciar sua jornada para DevOps compartilhando boas práticas e ferramentas utilizadas pelos times de ‘duas pizzas’ da Amazon. Vamos mostrar como você pode acelerar sua produtividade implementando fluxos de integração e entrega contínua. E iremos introduzir os serviços que a AWS desenvolveu inspirados nas ferramentas e práticas internas da Amazon: AWS CodeCommit, AWS CodeBuild, AWS CodePipeline e AWS CodeDeploy. https://aws.amazon.com/pt/products/developer-tools/

Acelerando a entrega de software com as ferramentas de desenvolvimento da AWS

Amazon Web Services LATAM

Muitas vezes quando desenvolvemos aplicações de escaláveis hoje em dia, acabamos atrelando parte deles a uma nuvem especifica. Porém isso traz problemas para como vendor lock-in, dificuldade de rodar em ambiente local, falta de portabilidade e entre outros problemas. E existem serviços em comum que são acessados em nuvem como Banco de Dados, Filas de Mensageria, Armazenamento de arquivo, logs, tracing e que poderiam ser abstraídos e preferencialmente intercambiáveis entre nuvens. Nessa palestra quero mostrar como desenvolver apps mais portáveis e ainda assim mantendo as vantagem de se rodar em nuvem.

Construindo aplicações Cloud Native em Go

Alvaro Viebrantz

Procura-se: DevOps #cpbr9

Camilla Gomes

DevSecOps - Segurança em um pipeline contínuo

Endrigo Antonini

Introdução a Application Life-cycle Management Open Source

Globalcode

DevOps na AWS: Construindo Sistemas para Entregas Rápidas

Amazon Web Services LATAM

TDC2018SP | Trilha Testes - Guia de sobrevivência do QA em DevOps

tdc-globalcode

Slide Live Conhecendo o Kubernetes

Elton Fonseca

Maven 2

Maurício Linhares

Análise sobre a utilização de frameworks em PHP: CakePHP, CodeIgniter e Zend

Thiago Sinésio

Quebrando barreiras entre desenvolvimento e operação de software com DevOps

José Alexandre Macedo

Continuous Deployment e DevOps na Nuvem

Amazon Web Services LATAM

Azure Bootcamp 2018 - DevOps para profissionais de Infra - Infomach / Goiânia

Rodrigo Marques Teixeira

QCon 2015 - DevOps, Chef, Puppet e Ansible e como vender milhões na Black Fri...

Bruno Luiz Pereira da Silva

Slides do Minicurso ministrado pela ToolsCloud na Globalcode. Para se inscrever nas proximas turmas, acesse: http://www.globalcode.com.br/gratuitos/minicursos/minicurso-introducao-a-alm-open-source Para experimentar as ferramentas apresentadas no minicurso, você pode utilizar o ambiente de demonstração da ToolsCloud: https://demo.toolscloud.net User: toolscloud Password: toolscloud ToolsCloud -- As ferramentas que os desenvolvedores adoram, na nuvem! Solução complete de ALM, open source e sem stress. Começe a usar no seu projeto hoje! http://www.toolscloud.com

ALM Open Source Ponta a Ponta - Minicurso Globalcode MC-122

Bruno Souza

Incluindo Ferramentas de Segurança no Pipeline

Claudio Romao

Behavior-Driven Development (BDD) - DevOps Summit 2016

Renato Groff

De 0 a DevOps

Amazon Web Services LATAM

Open4Education | MC122 - Introdução a ALM OpenSource

tdc-globalcode

Você Escreve Código e Quem Valida?

Conviso Application Security

Semelhante a DevCommerce Conference 2016: SecDevOps – Testes contínuos de segurança em aplicações (20)

Acelerando a entrega de software com as ferramentas de desenvolvimento da AWS

Construindo aplicações Cloud Native em Go

Procura-se: DevOps #cpbr9

DevSecOps - Segurança em um pipeline contínuo

Introdução a Application Life-cycle Management Open Source

DevOps na AWS: Construindo Sistemas para Entregas Rápidas

TDC2018SP | Trilha Testes - Guia de sobrevivência do QA em DevOps

Slide Live Conhecendo o Kubernetes

Maven 2

Análise sobre a utilização de frameworks em PHP: CakePHP, CodeIgniter e Zend

Quebrando barreiras entre desenvolvimento e operação de software com DevOps

Continuous Deployment e DevOps na Nuvem

Azure Bootcamp 2018 - DevOps para profissionais de Infra - Infomach / Goiânia

QCon 2015 - DevOps, Chef, Puppet e Ansible e como vender milhões na Black Fri...

ALM Open Source Ponta a Ponta - Minicurso Globalcode MC-122

Incluindo Ferramentas de Segurança no Pipeline

Behavior-Driven Development (BDD) - DevOps Summit 2016

De 0 a DevOps

Open4Education | MC122 - Introdução a ALM OpenSource

Você Escreve Código e Quem Valida?

Mais de iMasters

O que você precisa saber para modelar bancos de dados NoSQL - Dani Monteiro

iMasters

Postgres: wanted, beloved or dreaded? - Fabio Telles

iMasters

Durante os anos de experiencia percebi que grande parte dos desenvolvedores possuem dificuldade em iniciar o troubleshooting de suas queries, muitas vezes sobrecarregando o DBA em muitos dos casos com queries simples. O intuito desta palestrar é mostrar o "caminho das pedras" para despertar nos desenvolvedores a necessidade de se conhecer o funcionamento da ferramenta utilizada e visando os desenvolvimentos futuros tendo como foco o pensamento em performance do código escrito e dicas de melhores códigos.

Por que minha query esta lenta? - Suellen Moraes

iMasters

"essa sessão iremos abordar os principais problemas arquiteturais, e suas soluções, que encontro nas mais diversas corporações brasileiras. Desde bancos de dados recebendo 100% de querys Adhoc, CPDs inundados, até servidores que foram metralhados e não possuiam backup. Falaremos sobre arquitetura de dados, boas práticas de backup, alta disponibilidade, disaster recovery, performance, boas práticas de configuraçao e etc."

Relato das trincheiras: o dia a dia de uma consultoria de banco de dados - Ig...

iMasters

Com a evolução dos aplicativos nascem novas técnicas, frameworks, linguagens de programação, porém, existe um fato consolidado dentro da arquitetura de software corporativo que é a integração com alguma tecnologia necessária para armazenar as informações inerentes ao sistema. Seja SQL ou NoSQL um ponto importante é que o paradigma das linguagens difere da tecnologia do banco de dados. Com o intuito de facilitar o desenvolvimento surgem as ferramentas que realizam a interpretação entre a camada da aplicação e os bancos. Assim, aparecem grandes desafios: como lidar com essa lacuna multiparadigma? Como favorecer o desenvolvimento sem impactar a performance e a modelagem no banco de dados? O objetivo dessa palestra é falar um pouco desses pontos para que, finalmente, os programadores e os DBAs conseguam viver em paz e harmonia.

ORMs heróis ou vilões dentro da arquitetura de dados? - Otávio gonçalves

iMasters

SQL e NoSQL trabalhando juntos: uma comparação para obter o melhor de ambos -...

iMasters

Diante das novas regulamentações externas (GDPR), e a nova legislação Brasileira sobre Proteção de Dados Pessoais (LGPD), o que fazer para se adequar? Por Onde começar? O que Fazer? E o que não fazer? Para que serve a Governança de Dados e como ela pode ajudar sua empresa no processo de adequação/conformidade a padrões internacionais de Privacidade e Segurança da Informação? Diante de tantos caminhos e desafios, um overview do que se trata, por onde começar o caminho, algumas armadilhas a evitar, e algumas boas práticas para não apenas se proteger, mas evitar futuros problemas.

Arquitetando seus dados na prática para a LGPD - Alessandra Martins

iMasters

Esta palestra vai abordar qual é o papel do DBA no cenário atual onde processos de machine learning estão cada vez mais presentes nas empresas. O conteúdo discutirá tópicos que tocam em temas como o relacionamento entre o DBA e o cientistas de dados, a gestão dos dados, integração de tecnologias, reciclagem de profissionais e outros fatores que devem ser levados em consideração pelo DBA atual, uma vez que as empresas cada vez mais investem em projetos de machine learning.

O papel do DBA no mundo de ciência de dados e machine learning - Mauro Pichil...

iMasters

Juliana Chahoud - Consultora, ThoughtWorks Com tantas empresas adotando a estratégia "Mobile-First" (dispositivos móveis em primeiro), uma das grandes decisões que um time de desenvolvimento precisa tomar é: qual tech stack usar para mobile? Diversas tecnologias e linguagens podem ser adotadas, como Swift, Java, Kotlin, React Native, Flutter, Progressive Web App, criação de sites responsivos, etc... No entanto, com tantas variáveis a serem consideradas, essa decisão passou a ser não trivial e que pode trazer grandes consequências a longo prazo e até mesmo inviabilizar um projeto. Nessa palestra serão discutidos os prós e contras de diversas abordagens, para que você possa ter um guia para tomar decisões mais corretas no uso dessas tecnologias Palestra apresentada no InterCon 2018 - https://eventos.imasters.com.br/intercon

Desenvolvimento Mobile Híbrido, Nativo ou Web: Quando usá-los - Juliana Chahoud

iMasters

Andrêza Leite - Professora - UFRPE Model Driven Development(MDD) está se tornando um tópico quente (novamente!). Mas por que MDD? Quais são as vantagens de MDD, MDE, MDA e outros acrônimos relacionados a model-driven? Nesta palestra tentarei responder essa questão listando algumas vantagens e perigos do desenvolvimento orientado a modelos, alinhados ao uso prático destas técnicas para geração de código e esquemas de bancos de dados. Palestra realizada no InterCon 2018 - https://eventos.imasters.com.br/intercon

Use MDD e faça as máquinas trabalharem para você - Andreza Leite

iMasters

Entendendo os porquês do seu servidor - Talita Bernardes

iMasters

Backend performático além do "coloca mais máquina lá" - Diana Arnos

iMasters

Renato Groffe - Engenheiro de Software, Canal .NET O que posso fazer em termos de bancos de dados para obter APIs que executem seu trabalho de forma otimizada e com maior velocidade? Que soluções para cache podem ser empregadas? E que tal tratar os retornos destas APIs, reduzindo o volume dos dados trafegados? E quanto a problemas de performance, o que utilizar para facilitar a detecção destes tipos de ocorrências? Acompanhe esta apresentação para obter respostas a estas questões durante o desenvolvimento de APIs REST. Palestra realizada no InterCon 2018 - https://eventos.imasters.com.br/intercon

Dicas para uma maior performance em APIs REST - Renato Groffe

iMasters

7 dicas de desempenho que equivalem por 21 - Danielle Monteiro

iMasters

Maurício Maujor - Divulgador dos Padrões Web, Maujor.com A acessibilidade é essencial para desenvolvedores e organizações que desejam criar websites e aplicações web de alta qualidade e não excluir pessoas do uso de seus produtos e serviços. Nesta palestra Maujor aborda alguns conceitos de acessibilidade com o objetivo de motivar e conscientizar para a importância de se projetar web com foco em acessibilidade. Palestra apresentada no InterCon 2018 - https://eventos.imasters.com.br/intercon

Quem se importa com acessibilidade Web? - Mauricio Maujor

iMasters

Wellington Figueira da Silva - Sysadmin de Códigos, Easy Com a popularidade dos contêineres ficou mais fácil criar microserviços e mais ágil construir aplicações distribuídas, porém a gerência desses serviços fica muito mais complicada. Mostraremos a ferramenta chamada Istio que nos ajuda com service discovery, com a distribuição de carga, com as rotas, com a detecção e tratamento de falhas, com controle de acesso entre aplicações dentre muitas outras funcionalidades disponíveis. Apresentado no InterCon 2018 - https://eventos.imasters.com.br/intercon

Service Mesh com Istio e Kubernetes - Wellington Figueira da Silva

iMasters

Erros: Como eles vivem, se alimentam e se reproduzem? - Augusto Pascutti

iMasters

Elasticidade e engenharia de banco de dados para alta performance - Rubens G...

iMasters

Carolina Karklis - Software developer, Magnetis O hype da orientação a objetos passou e com ele precisamos rever algumas práticas. Até mesmo o codebase mais limpo pode ter mensagens de erro precárias, checagens de tipo de dado em excesso, e uso dispensável de variáveis nulas. Nessa talk vou refatorar um sistema frágil e mostrar estratégias dentro do paradigma de orientação a objetos para escrever código de forma mais simples e confiante. No processo, vamos ver padrões de arquitetura de software que podemos usar, como melhorar mensagens para cenários de input inesperado e remover todas as variáveis nulas possíveis do nosso código.

Construindo aplicações mais confiantes - Carolina Karklis

iMasters

Felipe Regalgo - Especialista em Desenvolvimento de Software, Mercado Livre Mostraremos como o Mercado Livre monitora suas aplicações para identificar Bugs, Anomalias e comportamentos fora de padrão esperado. Falaremos sobre sistemas como NewRelic, DataDog, Kibana, OpsGenie e demais ferramentas internas que temos para facilitar e identificar problemas nas centenas de micro-serviços que temos antes mesmo deles chegarem até o usuário final. Apresentado no InterCon 2018 - https://eventos.imasters.com.br/intercon

Monitoramento de Aplicações - Felipe Regalgo

iMasters

Mais de iMasters (20)

O que você precisa saber para modelar bancos de dados NoSQL - Dani Monteiro

Postgres: wanted, beloved or dreaded? - Fabio Telles

Por que minha query esta lenta? - Suellen Moraes

Relato das trincheiras: o dia a dia de uma consultoria de banco de dados - Ig...

ORMs heróis ou vilões dentro da arquitetura de dados? - Otávio gonçalves

SQL e NoSQL trabalhando juntos: uma comparação para obter o melhor de ambos -...

Arquitetando seus dados na prática para a LGPD - Alessandra Martins

O papel do DBA no mundo de ciência de dados e machine learning - Mauro Pichil...

Desenvolvimento Mobile Híbrido, Nativo ou Web: Quando usá-los - Juliana Chahoud

Use MDD e faça as máquinas trabalharem para você - Andreza Leite

Entendendo os porquês do seu servidor - Talita Bernardes

Backend performático além do "coloca mais máquina lá" - Diana Arnos

Dicas para uma maior performance em APIs REST - Renato Groffe

7 dicas de desempenho que equivalem por 21 - Danielle Monteiro

Quem se importa com acessibilidade Web? - Mauricio Maujor

Service Mesh com Istio e Kubernetes - Wellington Figueira da Silva

Erros: Como eles vivem, se alimentam e se reproduzem? - Augusto Pascutti

Elasticidade e engenharia de banco de dados para alta performance - Rubens G...

Construindo aplicações mais confiantes - Carolina Karklis

Monitoramento de Aplicações - Felipe Regalgo

Último

DeClara n.º 75 Abril 2024 - O Jornal digital do Agrupamento de Escolas Clara ...

IsabelPereira2010

Currículo - Ícaro Kleisson - Tutor acadêmico.pdf

Tutor de matemática Ícaro

PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: LEITURA DE IMAGENS, GRÁFICOS E MAPAS - 51/2024 QUESTÃO 1 Dentre as funções dos mapas econômicos, é possível destacar a identificação de fatores endógenos, importantes para o desenvolvimento sustentável de territórios, bem como a comparação de territórios sejam estes em nível local, regional e/ ou nacional. PEREIRA, Péricles Ewaldo Jader. Estudo Contemporâneo e Transversal - Leitura de Imagens, Gráficos e Mapas. Indaial, SC: Arqué, 2023. Sobre algumas funções dos mapas econômicos, leia o material, avalie as asserções a seguir e a relação proposta entre elas. I. Em termos práticos, os mapas econômicos demonstram, por exemplo, a receita financeira dos estados brasileiros e o índice de População Economicamente Ativa e Inativa (PEA, PEI) de uma região PORQUE II. Essas informações econômicas permitem que possamos visualizar, por exemplo, os limites da soberania de um país e suas relações de vizinhança e, dessa forma, compreender como ocorrem essas relações. Acerca dessas asserções, assinale a opção correta. Alternativas Alternativa 1: As asserções I e II são verdadeiras, e a II é uma justificativa correta da I. Alternativa 2: As asserções I e II são verdadeiras, mas a II não é uma justificativa correta da I. Alternativa 3: A asserção I é uma proposição verdadeira e a II é uma proposição falsa. Alternativa 4: A asserção I é uma proposição falsa e a II é uma proposição verdadeira. Alternativa 5: As asserções I e II são falsas. QUESTÃO 2 Os dados históricos apontam que as capitanias do Brasil foram divisões territoriais e administrativas empregadas pela Coroa Portuguesa em seus territórios na América, sendo capitanias hereditárias de 1534 a 1753. Abaixo temos um mapa que ilustra essas divisões territoriais. Com base em seu material digital, analise o mapa e leia as assertivas que seguem: Disponível em: https://pt.wikipedia.org/wiki/Capitanias_do_Brasil#/media/Ficheiro:Capitanias.jpg . Acesso 06 mar. 2024. I. trata-se de um mapa demográfico, pois estão destacadas informações gerais acerca da população. II. é um exemplo de mapa físico, pois há as formas de relevo, a hidrografia e questões sobre o clima. III. trata-se de um mapa político, pois há a divisão entre Estados, Municípios e Distrito Federal. IV. é um mapa histórico, pois há demarcações dos diferentes espaços geográficos em um determinado período histórico É correto o que se afirma em: Alternativas Alternativa 1: I, apenas. Alternativa 2: I, II e III, apenas Alternativa 3: II e IV, apenas. Alternativa 4: IV, apenas. Alternativa 5: I, II, III e IV. QUESTÃO 3 A imagem possui papel preponderante na promoção do conteúdo científico, quer seja nas humanidades, quer seja nas exatas. Conforme Pereira (2023, p.6), “imagens nos ajudam a aprender, capturam a atenção, explicam conceitos difíceis e nos inspiram a conhecer e decifrar o mundo que gira ao nosso redor”. PEREIRA, Péricles Ewaldo Jader. Estudo Contemporâneo e Transversal - Leitura de Ima

PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: LEITURA DE IMAGENS, GRÁFICOS E MA...

azulassessoria9

PROJETO DE EXTENSÃO - EDUCAÇÃO FÍSICA BACHARELADO.pdf

HELENO FAVACHO

QUESTÃO 1 Considere a seguinte situação fictícia: Durante uma reunião de equipe em uma empresa, Ana é responsável por apresentar um relatório detalhado sobre o desempenho do último trimestre. No entanto, ao preparar sua apresentação, ela inclui uma quantidade excessiva de informações, abordando cada aspecto do relatório em grande detalhe. Quando Ana começa a apresentar, seus colegas começam a ficar entediados e distraídos, pois a sobrecarga de informações torna difícil acompanhar os pontos mais importantes. A partir dos conhecimentos abordados em “Comunicação assertiva e interpessoal”, assinale o que é exemplificado no caso exposto. Alternativas Alternativa 1: A sobrecarga de informações é benéfica para a comunicação, pois garante que todos os detalhes sejam transmitidos de forma completa. Alternativa 2: A quantidade excessiva de informações durante a apresentação de Ana é uma estratégia eficaz para garantir que todos os aspectos do relatório sejam compreendidos. Alternativa 3: A falta de informação é menos prejudicial para a comunicação do que o excesso dela, pois permite uma transmissão mais clara e concisa de mensagens. Alternativa 4: A sobrecarga de informações, como a apresentada por Ana, pode prejudicar a comunicação, tornando difícil para os colegas distinguir os pontos mais importantes do relatório. Alternativa 5: A comunicação eficaz depende exclusivamente da quantidade de informações transmitidas, independentemente de haver sobrecarga ou falta delas. QUESTÃO 2 A interação face a face acontece em um contexto de copresença: os participantes estão imediatamente presentes e partilham um mesmo espaço e tempo. As interações face a face têm um caráter dialógico, no sentido de que implicam ida e volta no fluxo de informação e comunicação. Além disso, os participantes podem empregar uma multiplicidade de deixas simbólicas para transmitir mensagens, como sorrisos, franzimento de sobrancelhas e mudanças na entonação da voz. Esse tipo de interação permite que os participantes comparem a mensagem que foi passada com as várias deixas simbólicas para melhorar a compreensão da mensagem. Fonte: Krieser, Deise Stolf. Estudo Contemporâneo e Transversal - Comunicação Assertiva e Interpessoal. Indaial, SC: Arqué, 2023. Considerando as características da interação face a face descritas no texto, analise as seguintes afirmações: I. A interação face a face ocorre em um contexto de copresença, no qual os participantes compartilham o mesmo espaço e tempo, o que facilita a comunicação direta e imediata. II. As interações face a face são predominantemente unidirecionais, com uma única pessoa transmitindo informações e a outra apenas recebendo, sem um fluxo de comunicação bidirecional. III. Durante as interações face a face, os participantes podem utilizar uma variedade de sinais simbólicos, como expressões faciais e mudanças na entonação da voz, para transmitir mensagens e melhorar a compreensão mútua. É correto o que se afirma em: Alternativas Altern

Considere a seguinte situação fictícia: Durante uma reunião de equipe em uma...

azulassessoria9

Análise poema país de abril (Mauel alegre)

ElliotFerreira

PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: COMUNICAÇÃO ASSERTIVA E INTERPESSOAL - 51/2024 QUESTÃO 1 Considere a seguinte situação fictícia: Durante uma reunião de equipe em uma empresa, Ana é responsável por apresentar um relatório detalhado sobre o desempenho do último trimestre. No entanto, ao preparar sua apresentação, ela inclui uma quantidade excessiva de informações, abordando cada aspecto do relatório em grande detalhe. Quando Ana começa a apresentar, seus colegas começam a ficar entediados e distraídos, pois a sobrecarga de informações torna difícil acompanhar os pontos mais importantes. A partir dos conhecimentos abordados em “Comunicação assertiva e interpessoal”, assinale o que é exemplificado no caso exposto. Alternativas Alternativa 1: A sobrecarga de informações é benéfica para a comunicação, pois garante que todos os detalhes sejam transmitidos de forma completa. Alternativa 2: A quantidade excessiva de informações durante a apresentação de Ana é uma estratégia eficaz para garantir que todos os aspectos do relatório sejam compreendidos. Alternativa 3: A falta de informação é menos prejudicial para a comunicação do que o excesso dela, pois permite uma transmissão mais clara e concisa de mensagens. Alternativa 4: A sobrecarga de informações, como a apresentada por Ana, pode prejudicar a comunicação, tornando difícil para os colegas distinguir os pontos mais importantes do relatório. Alternativa 5: A comunicação eficaz depende exclusivamente da quantidade de informações transmitidas, independentemente de haver sobrecarga ou falta delas. QUESTÃO 2 A interação face a face acontece em um contexto de copresença: os participantes estão imediatamente presentes e partilham um mesmo espaço e tempo. As interações face a face têm um caráter dialógico, no sentido de que implicam ida e volta no fluxo de informação e comunicação. Além disso, os participantes podem empregar uma multiplicidade de deixas simbólicas para transmitir mensagens, como sorrisos, franzimento de sobrancelhas e mudanças na entonação da voz. Esse tipo de interação permite que os participantes comparem a mensagem que foi passada com as várias deixas simbólicas para melhorar a compreensão da mensagem. Fonte: Krieser, Deise Stolf. Estudo Contemporâneo e Transversal - Comunicação Assertiva e Interpessoal. Indaial, SC: Arqué, 2023. Considerando as características da interação face a face descritas no texto, analise as seguintes afirmações: I. A interação face a face ocorre em um contexto de copresença, no qual os participantes compartilham o mesmo espaço e tempo, o que facilita a comunicação direta e imediata. II. As interações face a face são predominantemente unidirecionais, com uma única pessoa transmitindo informações e a outra apenas recebendo, sem um fluxo de comunicação bidirecional. III. Durante as interações face a face, os participantes podem utilizar uma variedade de sinais simbólicos, como expressões faciais e mudanças na entonação da voz, para transmitir

PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: COMUNICAÇÃO ASSERTIVA E INTERPESS...

azulassessoria9

Rota das Ribeiras Camp, Projeto Nós Propomos!

Ilda Bicacro

aula de bioquímica bioquímica dos carboidratos.ppt

ssuser2b53fe

PROJETO DE EXTENSÃO I - TECNOLOGIA DA INFORMAÇÃO Relatório Final de Atividade...

HELENO FAVACHO

Ler e conhecer as competências específicas referentes à sua área de conhecimento de acordo com a BNCC, bem como a proposta de objetos de conhecimento e habilidades prevista para uma série de sua escolha, conforme segmento de atuação de seu curso de graduação (Por exemplo: Pedagogia, Educação Física e Arte: do 1º ao 5º ano; Letras, Matemática, História, Geografia: do 6º ao 9º ano; Filosofia, Sociologia: 1º ao 3º ano do Ensino Médio). O curso de Educação Especial abrange todos os segmentos mencionados, com foco em estudantes com necessidades educacionais especiais.

PRÁTICAS PEDAGÓGICAS GESTÃO DA APRENDIZAGEM

HELENO FAVACHO

Projeto_de_Extensão_Agronomia_adquira_ja_(91)_98764-0830.pdf

HELENO FAVACHO

atividades_reforço_4°ano_231206_132728.pdf

LuizaAbaAba

Teoria heterotrófica e autotrófica dos primeiros seres vivos..pptx

TailsonSantos1

PROJETO DE EXTENÇÃO - GESTÃO DE RECURSOS HUMANOS.pdf

HELENO FAVACHO

Historia da Arte europeia e não só. .pdf

Emanuel Pio

Projeto de Extensão - ENGENHARIA DE SOFTWARE - BACHARELADO.pdf

HELENO FAVACHO

About Vila Galé- Cadeia Empresarial de Hotéis

ines09cachapa

Nós Propomos! " Pinhais limpos, mundo saudável"

Ilda Bicacro

PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: COMUNICAÇÃO ASSERTIVA E INTERPESS...

azulassessoria9

DevCommerce Conference 2016: SecDevOps – Testes contínuos de segurança em aplicações

1. Testes contínuos de segurança em aplicações

2. 15 anos de experiência na área de SI Consultoria de segurança, Análise de vulnerabilidade e Pentest, Engenharia Social, Incident Response Voluntário no SANS Institute Top 20 Marcos Ferreira

3. Agenda • O que é o SecDevOps? • Onde e quando é implementado? • Ferramentas para testes • Dúvidas • Contatos

4. Como funciona o DevOps • Entrega e implementação contínua • Não precisa esperar release • Entrega de features • Agilidade

5. E a segurança...

6. ...precisa se reinventar!

7. Processo atual • Processos manuais • Documentos antigos • Não são ágeis • Levam muito tempo Normas Dev Testes Pentest Scans Ops ISO / PCI / OWASP / Políticas

8. Como começar • Planeje a segurança • Traga os desenvolvedores para próximo de segurança • Disponibilize ferramentas • Faça verificações constantes

9. Implementar sec no processo Source: https://insights.sei.cmu.edu/sei_blog/2014/12/security-in-continuous-integration.html

10. SAST, DAST ou RASP? • Static Application Security Testing (SAST) • Acesso ao código fonte • Verificação bem detalhada • Dynamic Application Security Testing (DAST) • Baseado em requisições e respostas • Não precisa ter acesso ao código fonte • Runtime Application Self-Protection (RASP) • Identificação e bloqueio de ataques em tempo real • Integrado diretamente na aplicação

11. Ferramentas de testes e DevSecOps GAUNTLT Hardening Framework Mittn

12. Hardening Framework • Automatic Server Hardening • Chef, Puppet e Ansible • OS hardening • SSH / MySql / PostgreSQL / Apache / Nginx • Ubuntu / RedHat / CentOS / Debian http://dev-sec.io/

13. Clair • Análise de vulnerabilidade estática • Containers Appc e Docker • Ubuntu / RedHat / Debian https://github.com/coreos/clair

14. Bdd-Security • Behavior-Driven Development (BDD) • Framework escrito Java e based no JBehave e Selenium 2 (WebDriver) • Usa o formato Given, When, Then • Pode ser integrado com Jenkins • Integração com OWASP ZAP / Nessus • Não precisa de acesso ao código https://github.com/continuumsecurity/bdd-security

15. GAUNTLT • Behavior-Driven Development (BDD) • Baseado em ruby • Usa o formato Given, When, Then • Integração com Nmap / sqlmap / arachni http://gauntlt.org/

16. Mittn • Projetado no contexto de Continuous Integration • Baseado em python • Usa o formato Given, When, Then • Integração com Burp / sslyze / Radamsa https://github.com/F-Secure/mittn

17. Resumindo... Dev Hardening Framework +

18. SEMPRE TESTE... ...E ATUALIZE TUDO! =)

19. Dúvidas

20. Email: marcos.ferreira@siteblindado.com.br Linkedin: https://br.linkedin.com/in/mferreira Blog: http://labs.siteblindado.com Fone: +55 11 3454-3310 Marcos Ferreira Obrigado!

21. +55 11 3354-3310 sec@siteblindado.com.br labs.siteblindado.com

DevCommerce Conference 2016: SecDevOps – Testes contínuos de segurança em aplicações

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Destaque

Destaque (17)

Semelhante a DevCommerce Conference 2016: SecDevOps – Testes contínuos de segurança em aplicações

Semelhante a DevCommerce Conference 2016: SecDevOps – Testes contínuos de segurança em aplicações (20)

Mais de iMasters

Mais de iMasters (20)

Último

Último (20)

DevCommerce Conference 2016: SecDevOps – Testes contínuos de segurança em aplicações