SlideShare uma empresa Scribd logo

DevSecOps - Integrando Segurança no Processo DevOps

Transferir como PPTX, PDF
Alessandra Soares
Alessandra Soares

Um breve descritivo sobre a integração de Segurança no processo DevOps

Tecnologia
1 de 10
DEVSECOPS: INTEGRANDO SEGURANÇA NA ENTREGA CONTÍNUA
ANTES DE TUDO, O QUE É DEVOPS? • SÃO PRÁTICAS QUE ENFATIZAM A COMUNICAÇÃO, COLABORAÇÃO E A INTEGRAÇÃO ENTRE AS EQUIPES DE DESENVOLVIMENTO E AS OPERAÇÕES DE UMA EMPRESA. • OBJETIVO: REDUZIR O TEMPO NO LANÇAMENTO DE NOVAS VERSÕES E FUNCIONALIDADES, ALÉM DE AGILIZAR O DESENVOLVIMENTO E AUMENTAR A ESTABILIDADE DAS APLICAÇÕES.
DEVSECOPS • É A INTEGRAÇÃO DA EQUIPE DE SEGURANÇA COM AS EQUIPES DE DESENVOLVIMENTO E OPERAÇÕES, BUSCANDO TODOS OS BENEFÍCIOS DO DEVOPS SEM RENUNCIAR A SEGURANÇA E, AINDA, UTILIZAR A MESMA FILOSOFIA DE ENTREGA RÁPIDA ADICIONANDO ETAPAS DE SEGURANÇA NO CICLO DE DESENVOLVIMENTO DE SOFTWARE.
ONDE A SEGURANÇA ENTRA NESSE PROCESSO? •NO CICLO DE DESENVOLVIMENTO E NO APOIO DAS EQUIPES OPERACIONAIS, OU SEJA, INTEGRAR A EQUIPE DE SEGURANÇA NO PLANEJAMENTO E/OU MELHORIA DE UM SOFTWARE​
DEVSECOPS – VISÃO:1) MENTALIDADE FOCADA EM:​ CONFIABILIDADE​ REPETIBILIDADE​ RASTREABILIDADE​ MÍNIMA OU NENHUMA INTERVENÇÃO MANUAL​ 2) PRÁTICAS VOLTADAS PARA AUTOMAÇÃO:​ CONSTRUÇÃO AUTOMATIZADA​ TESTE AUTOMATIZADO​ IMPLEMENTAÇÃO AUTOMATIZADA​ MONITORIZAÇÃO AUTOMATIZADA​ INFRAESTRUTURA AUTOMATIZADA (TECNOLOGIA DE CONTÊINER, ETC.)
INICIANDO A SEGURANÇA NO DEVOPS • INFRAESTRUTURA: APLICAR MELHORES PRÁTICAS DE SEGURANÇA PARA A IMPLEMENTAÇÃO DOS SERVIDORES E SERVIÇOS QUE SERÃO UTILIZADOS. • DESENVOLVIMENTO: MAPEAR AS PARTES MAIS CRÍTICAS DO CÓDIGO (EXEMPLOS: API'S, FORMULÁRIOS, SITE COM ACESSO DE LOGIN E SENHA, ETC)​
SEGURANÇA E DEVOPS ANDAM JUNTOS • A EQUIPE DE SEGURANÇA DEVE SER PARCEIRA DAS EQUIPES DE DESENVOLVIMENTO E INFRA. OFERECER TREINAMENTOS E DICAS (COMO O PROJETO OWASP - OPEN WEB APPLICATION SECURITY PROJECT), QUE DISPONIBILIZA ARTIGOS, METODOLOGIAS, FERRAMENTAS E TECNOLOGIAS PARA A SEGURANÇA DE APLICAÇÕES WEB. • • SITE OWASP: HTTPS://WWW.OWASP.ORG
DEVSECOPS RESULTADOS: • UM CONJUNTO SEGURO E CONSISTENTE DE AMBIENTES DE DESENVOLVIMENTO • INTEGRAÇÃO RÁPIDA DE FORNECEDORES E OUTROS COLABORADORES DO PROJETO POR MEIO DE UM AMBIENTE DE DESENVOLVIMENTO PRÉ-EMPACOTADO​ • QUALIDADE MÍNIMA DE CÓDIGO PADRÃO MEDIDA ATRAVÉS DE TESTES UNITÁRIOS AUTOMATIZADOS E APLICADOS E PADRÕES DE CÓDIGO (VIDE INDICAÇÃO NO SLIDE SEGUINTE)​ • FEEDBACK RÁPIDO ATRAVÉS DE PROCESSOS AUTOMATIZADOS DE ENTREGA CONTÍNUA​ • GERENCIAMENTO DE MUDANÇA (TANTO PARA NOVAS FUNCIONALIDADES QUANTO ALTERAÇÕES EM SERVIDORES E BANCO DE DADOS) • TODAS AS ALTERAÇÕES NOS AMBIENTES (DESENVOLVIMENTO, HOMOLOGAÇÃO E PRODUÇÃO), DEVEM COMTEMPLAR NA VALIDAÇÃO DE DEVSECOPS.
Alessandra Soares dos Santos http://github.com/AlessandraSoraesdosSantos/ alessandradesenvolvedora@gmail.com Alessandra Soares Santos https://alessandrasoaressantos.blogspot.com https://www.slideshare.net/AlessandraSoares10/

Recomendados

Webgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizadoWebgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizadoLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Webgoat Project - Apresentação
Webgoat Project - ApresentaçãoWebgoat Project - Apresentação
Webgoat Project - ApresentaçãoDécio Castaldi, MBA/FIAP
 
OWASP Top 10 2010 pt-BR
OWASP Top 10 2010 pt-BROWASP Top 10 2010 pt-BR
OWASP Top 10 2010 pt-BRMagno Logan
 
Katana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da InformaçãoKatana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da InformaçãoMagno Logan
 
Owasp top 10_2013_pt-br
Owasp top 10_2013_pt-brOwasp top 10_2013_pt-br
Owasp top 10_2013_pt-brSérgio FePro
 
Desenvolvimento Seguro
Desenvolvimento SeguroDesenvolvimento Seguro
Desenvolvimento SeguroAndré Luís Cardoso
 
OWASP - Instituto Maria de Fatima
OWASP - Instituto Maria de FatimaOWASP - Instituto Maria de Fatima
OWASP - Instituto Maria de FatimaOWASP Brasília
 
DevChamps 2016
DevChamps 2016DevChamps 2016
DevChamps 2016Igor Rosa Macedo
 

Recomendados

Webgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizadoWebgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizadoLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Webgoat Project - Apresentação
Webgoat Project - ApresentaçãoWebgoat Project - Apresentação
Webgoat Project - ApresentaçãoDécio Castaldi, MBA/FIAP
 
OWASP Top 10 2010 pt-BR
OWASP Top 10 2010 pt-BROWASP Top 10 2010 pt-BR
OWASP Top 10 2010 pt-BRMagno Logan
 
Katana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da InformaçãoKatana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da InformaçãoMagno Logan
 
Owasp top 10_2013_pt-br
Owasp top 10_2013_pt-brOwasp top 10_2013_pt-br
Owasp top 10_2013_pt-brSérgio FePro
 
Desenvolvimento Seguro
Desenvolvimento SeguroDesenvolvimento Seguro
Desenvolvimento SeguroAndré Luís Cardoso
 
OWASP - Instituto Maria de Fatima
OWASP - Instituto Maria de FatimaOWASP - Instituto Maria de Fatima
OWASP - Instituto Maria de FatimaOWASP Brasília
 
DevChamps 2016
DevChamps 2016DevChamps 2016
DevChamps 2016Igor Rosa Macedo
 
Palestra sobre o FirefoxOS
Palestra sobre o FirefoxOSPalestra sobre o FirefoxOS
Palestra sobre o FirefoxOSYelken Heckman Ferreira Gonzales
 
Segurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwaresSegurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwaresLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Desenvolvimento de Aplicações Web Seguras
Desenvolvimento de Aplicações Web SegurasDesenvolvimento de Aplicações Web Seguras
Desenvolvimento de Aplicações Web SegurasDércio Luiz Reis
 
Entendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento SeguroEntendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento SeguroKleitor Franklint Correa Araujo
 
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMArtigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMBruno Motta Rego
 
Antar ferreira
Antar ferreiraAntar ferreira
Antar ferreiraAntar Ferreira
 
Segurança em desenvolvimento de software
Segurança em desenvolvimento de softwareSegurança em desenvolvimento de software
Segurança em desenvolvimento de softwareJeronimo Zucco
 
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)Erick Belluci Tedeschi
 
Owasp Chapter Cuiabá
Owasp Chapter Cuiabá Owasp Chapter Cuiabá
Owasp Chapter Cuiabá OWASP_cuiaba
 
Implementação de políticas de segurança no Asp.Net Core
Implementação de políticas de segurança no Asp.Net CoreImplementação de políticas de segurança no Asp.Net Core
Implementação de políticas de segurança no Asp.Net CoreAlexandre Malavasi
 
Avast
Avast Avast
Avast iola1234
 
Segurança no Desenvolvimento de Software
Segurança no Desenvolvimento de SoftwareSegurança no Desenvolvimento de Software
Segurança no Desenvolvimento de SoftwareMarcelo Fleury
 
Análise Comparativa de Segurança de Aplicativos em Plataformas de Dispositiv...
Análise Comparativa de Segurança de Aplicativos em Plataformas de Dispositiv...Análise Comparativa de Segurança de Aplicativos em Plataformas de Dispositiv...
Análise Comparativa de Segurança de Aplicativos em Plataformas de Dispositiv...Cleisson Vieira
 
Phprs meetup - deploys automatizados com gitlab
Phprs meetup - deploys automatizados com gitlabPhprs meetup - deploys automatizados com gitlab
Phprs meetup - deploys automatizados com gitlabJackson F. de A. Mafra
 
Construindo aplicações Cloud Native em Go
Construindo aplicações Cloud Native em GoConstruindo aplicações Cloud Native em Go
Construindo aplicações Cloud Native em GoAlvaro Viebrantz
 
Azure Bootcamp 2018 - DevOps para profissionais de Infra - Infomach / Goiânia
Azure Bootcamp 2018 - DevOps para profissionais de Infra - Infomach / GoiâniaAzure Bootcamp 2018 - DevOps para profissionais de Infra - Infomach / Goiânia
Azure Bootcamp 2018 - DevOps para profissionais de Infra - Infomach / GoiâniaRodrigo Marques Teixeira
 
MIT DevOps IaC - Infra como Código
MIT DevOps IaC - Infra como CódigoMIT DevOps IaC - Infra como Código
MIT DevOps IaC - Infra como CódigoCaio Candido
 
Owasp Chapter Belo Horizonte
Owasp Chapter Belo HorizonteOwasp Chapter Belo Horizonte
Owasp Chapter Belo HorizonteMarcelo de Freitas Lopes
 
Sunlit technologies portfolio produtos & serviços agosto2016
Sunlit technologies portfolio produtos & serviços agosto2016Sunlit technologies portfolio produtos & serviços agosto2016
Sunlit technologies portfolio produtos & serviços agosto2016Antonio Carlos Scola - MSc
 
TechNet - e-Book- Artigos sobre Test Manager
TechNet - e-Book- Artigos sobre Test ManagerTechNet - e-Book- Artigos sobre Test Manager
TechNet - e-Book- Artigos sobre Test ManagerAlan Carlos
 
Saa s software como serviço (slides)
Saa s software como serviço (slides)Saa s software como serviço (slides)
Saa s software como serviço (slides)Daniela Nunes
 
DevOps: Entregando software e serviços rapidamente
DevOps: Entregando software e serviços rapidamenteDevOps: Entregando software e serviços rapidamente
DevOps: Entregando software e serviços rapidamenteRanderson Oliveira Melville Rebouças
 

Mais conteúdo relacionado

Mais procurados

Desenvolvimento de Aplicações Web Seguras
Desenvolvimento de Aplicações Web SegurasDesenvolvimento de Aplicações Web Seguras
Desenvolvimento de Aplicações Web SegurasDércio Luiz Reis
 
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMArtigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMBruno Motta Rego
 
Segurança em desenvolvimento de software
Segurança em desenvolvimento de softwareSegurança em desenvolvimento de software
Segurança em desenvolvimento de softwareJeronimo Zucco
 
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)Erick Belluci Tedeschi
 
Owasp Chapter Cuiabá
Owasp Chapter Cuiabá Owasp Chapter Cuiabá
Owasp Chapter Cuiabá OWASP_cuiaba
 
Implementação de políticas de segurança no Asp.Net Core
Implementação de políticas de segurança no Asp.Net CoreImplementação de políticas de segurança no Asp.Net Core
Implementação de políticas de segurança no Asp.Net CoreAlexandre Malavasi
 
Segurança no Desenvolvimento de Software
Segurança no Desenvolvimento de SoftwareSegurança no Desenvolvimento de Software
Segurança no Desenvolvimento de SoftwareMarcelo Fleury
 
Análise Comparativa de Segurança de Aplicativos em Plataformas de Dispositiv...
Análise Comparativa de Segurança de Aplicativos em Plataformas de Dispositiv...Análise Comparativa de Segurança de Aplicativos em Plataformas de Dispositiv...
Análise Comparativa de Segurança de Aplicativos em Plataformas de Dispositiv...Cleisson Vieira
 

Mais procurados (13)

Palestra sobre o FirefoxOS
Palestra sobre o FirefoxOSPalestra sobre o FirefoxOS
Palestra sobre o FirefoxOS
 
Segurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwaresSegurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwares
 
Desenvolvimento de Aplicações Web Seguras
Desenvolvimento de Aplicações Web SegurasDesenvolvimento de Aplicações Web Seguras
Desenvolvimento de Aplicações Web Seguras
 
Entendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento SeguroEntendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento Seguro
 
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMArtigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
 
Antar ferreira
Antar ferreiraAntar ferreira
Antar ferreira
 
Segurança em desenvolvimento de software
Segurança em desenvolvimento de softwareSegurança em desenvolvimento de software
Segurança em desenvolvimento de software
 
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
 
Owasp Chapter Cuiabá
Owasp Chapter Cuiabá Owasp Chapter Cuiabá
Owasp Chapter Cuiabá
 
Implementação de políticas de segurança no Asp.Net Core
Implementação de políticas de segurança no Asp.Net CoreImplementação de políticas de segurança no Asp.Net Core
Implementação de políticas de segurança no Asp.Net Core
 
Avast
Avast Avast
Avast
 
Segurança no Desenvolvimento de Software
Segurança no Desenvolvimento de SoftwareSegurança no Desenvolvimento de Software
Segurança no Desenvolvimento de Software
 
Análise Comparativa de Segurança de Aplicativos em Plataformas de Dispositiv...
Análise Comparativa de Segurança de Aplicativos em Plataformas de Dispositiv...Análise Comparativa de Segurança de Aplicativos em Plataformas de Dispositiv...
Análise Comparativa de Segurança de Aplicativos em Plataformas de Dispositiv...
 

Semelhante a DevSecOps - Integrando Segurança no Processo DevOps

Phprs meetup - deploys automatizados com gitlab
Phprs meetup - deploys automatizados com gitlabPhprs meetup - deploys automatizados com gitlab
Phprs meetup - deploys automatizados com gitlabJackson F. de A. Mafra
 
Construindo aplicações Cloud Native em Go
Construindo aplicações Cloud Native em GoConstruindo aplicações Cloud Native em Go
Construindo aplicações Cloud Native em GoAlvaro Viebrantz
 
Azure Bootcamp 2018 - DevOps para profissionais de Infra - Infomach / Goiânia
Azure Bootcamp 2018 - DevOps para profissionais de Infra - Infomach / GoiâniaAzure Bootcamp 2018 - DevOps para profissionais de Infra - Infomach / Goiânia
Azure Bootcamp 2018 - DevOps para profissionais de Infra - Infomach / GoiâniaRodrigo Marques Teixeira
 
MIT DevOps IaC - Infra como Código
MIT DevOps IaC - Infra como CódigoMIT DevOps IaC - Infra como Código
MIT DevOps IaC - Infra como CódigoCaio Candido
 
Sunlit technologies portfolio produtos & serviços agosto2016
Sunlit technologies portfolio produtos & serviços agosto2016Sunlit technologies portfolio produtos & serviços agosto2016
Sunlit technologies portfolio produtos & serviços agosto2016Antonio Carlos Scola - MSc
 
TechNet - e-Book- Artigos sobre Test Manager
TechNet - e-Book- Artigos sobre Test ManagerTechNet - e-Book- Artigos sobre Test Manager
TechNet - e-Book- Artigos sobre Test ManagerAlan Carlos
 
Saa s software como serviço (slides)
Saa s software como serviço (slides)Saa s software como serviço (slides)
Saa s software como serviço (slides)Daniela Nunes
 
UTILIZANDO O FRAMEWORK JBOSS SEAM PARA ACELERAR O DESENVOLVIMENTO DE APLICAÇÕ...
UTILIZANDO O FRAMEWORK JBOSS SEAM PARA ACELERAR O DESENVOLVIMENTO DE APLICAÇÕ...UTILIZANDO O FRAMEWORK JBOSS SEAM PARA ACELERAR O DESENVOLVIMENTO DE APLICAÇÕ...
UTILIZANDO O FRAMEWORK JBOSS SEAM PARA ACELERAR O DESENVOLVIMENTO DE APLICAÇÕ...Eder Nogueira
 
Azure Fundamentals (Intensivão Azure)
Azure Fundamentals (Intensivão Azure)Azure Fundamentals (Intensivão Azure)
Azure Fundamentals (Intensivão Azure)Resource IT
 
OMNIHUB - PLATAFORMA DE INTEGRAÇÃO
OMNIHUB - PLATAFORMA DE INTEGRAÇÃOOMNIHUB - PLATAFORMA DE INTEGRAÇÃO
OMNIHUB - PLATAFORMA DE INTEGRAÇÃORodrigo Grandini
 
Como montar um DevOps Toolchain
Como montar um DevOps Toolchain Como montar um DevOps Toolchain
Como montar um DevOps Toolchain Fabio Reginaldo
 
Um método para o desenvolvimento de software baseado em microsserviços
Um método para o desenvolvimento de software baseado em microsserviçosUm método para o desenvolvimento de software baseado em microsserviços
Um método para o desenvolvimento de software baseado em microsserviçosThiago Pereira
 
Lista de desejos de um Chief Security Officer
Lista de desejos de um Chief Security OfficerLista de desejos de um Chief Security Officer
Lista de desejos de um Chief Security OfficerAmazon Web Services LATAM
 
AGILE UNIFIED PROCESS
AGILE UNIFIED PROCESSAGILE UNIFIED PROCESS
AGILE UNIFIED PROCESSEder Nogueira
 

Semelhante a DevSecOps - Integrando Segurança no Processo DevOps (20)

Phprs meetup - deploys automatizados com gitlab
Phprs meetup - deploys automatizados com gitlabPhprs meetup - deploys automatizados com gitlab
Phprs meetup - deploys automatizados com gitlab
 
Construindo aplicações Cloud Native em Go
Construindo aplicações Cloud Native em GoConstruindo aplicações Cloud Native em Go
Construindo aplicações Cloud Native em Go
 
Azure Bootcamp 2018 - DevOps para profissionais de Infra - Infomach / Goiânia
Azure Bootcamp 2018 - DevOps para profissionais de Infra - Infomach / GoiâniaAzure Bootcamp 2018 - DevOps para profissionais de Infra - Infomach / Goiânia
Azure Bootcamp 2018 - DevOps para profissionais de Infra - Infomach / Goiânia
 
MIT DevOps IaC - Infra como Código
MIT DevOps IaC - Infra como CódigoMIT DevOps IaC - Infra como Código
MIT DevOps IaC - Infra como Código
 
Owasp Chapter Belo Horizonte
Owasp Chapter Belo HorizonteOwasp Chapter Belo Horizonte
Owasp Chapter Belo Horizonte
 
Sunlit technologies portfolio produtos & serviços agosto2016
Sunlit technologies portfolio produtos & serviços agosto2016Sunlit technologies portfolio produtos & serviços agosto2016
Sunlit technologies portfolio produtos & serviços agosto2016
 
TechNet - e-Book- Artigos sobre Test Manager
TechNet - e-Book- Artigos sobre Test ManagerTechNet - e-Book- Artigos sobre Test Manager
TechNet - e-Book- Artigos sobre Test Manager
 
Saa s software como serviço (slides)
Saa s software como serviço (slides)Saa s software como serviço (slides)
Saa s software como serviço (slides)
 
DevOps: Entregando software e serviços rapidamente
DevOps: Entregando software e serviços rapidamenteDevOps: Entregando software e serviços rapidamente
DevOps: Entregando software e serviços rapidamente
 
UTILIZANDO O FRAMEWORK JBOSS SEAM PARA ACELERAR O DESENVOLVIMENTO DE APLICAÇÕ...
UTILIZANDO O FRAMEWORK JBOSS SEAM PARA ACELERAR O DESENVOLVIMENTO DE APLICAÇÕ...UTILIZANDO O FRAMEWORK JBOSS SEAM PARA ACELERAR O DESENVOLVIMENTO DE APLICAÇÕ...
UTILIZANDO O FRAMEWORK JBOSS SEAM PARA ACELERAR O DESENVOLVIMENTO DE APLICAÇÕ...
 
Azure Fundamentals (Intensivão Azure)
Azure Fundamentals (Intensivão Azure)Azure Fundamentals (Intensivão Azure)
Azure Fundamentals (Intensivão Azure)
 
Engenharia de software
Engenharia de softwareEngenharia de software
Engenharia de software
 
OMNIHUB - PLATAFORMA DE INTEGRAÇÃO
OMNIHUB - PLATAFORMA DE INTEGRAÇÃOOMNIHUB - PLATAFORMA DE INTEGRAÇÃO
OMNIHUB - PLATAFORMA DE INTEGRAÇÃO
 
Falando sobre DevOps no azure
Falando sobre DevOps no azureFalando sobre DevOps no azure
Falando sobre DevOps no azure
 
Como montar um DevOps Toolchain
Como montar um DevOps Toolchain Como montar um DevOps Toolchain
Como montar um DevOps Toolchain
 
DevOps é SIM uma questão de QA
DevOps é SIM uma questão de QADevOps é SIM uma questão de QA
DevOps é SIM uma questão de QA
 
Um método para o desenvolvimento de software baseado em microsserviços
Um método para o desenvolvimento de software baseado em microsserviçosUm método para o desenvolvimento de software baseado em microsserviços
Um método para o desenvolvimento de software baseado em microsserviços
 
Lista de desejos de um Chief Security Officer
Lista de desejos de um Chief Security OfficerLista de desejos de um Chief Security Officer
Lista de desejos de um Chief Security Officer
 
Ari_Neto_Cloud_CONACLOUD
Ari_Neto_Cloud_CONACLOUDAri_Neto_Cloud_CONACLOUD
Ari_Neto_Cloud_CONACLOUD
 
AGILE UNIFIED PROCESS
AGILE UNIFIED PROCESSAGILE UNIFIED PROCESS
AGILE UNIFIED PROCESS
 

DevSecOps - Integrando Segurança no Processo DevOps

  • 2. ANTES DE TUDO, O QUE É DEVOPS? • SÃO PRÁTICAS QUE ENFATIZAM A COMUNICAÇÃO, COLABORAÇÃO E A INTEGRAÇÃO ENTRE AS EQUIPES DE DESENVOLVIMENTO E AS OPERAÇÕES DE UMA EMPRESA. • OBJETIVO: REDUZIR O TEMPO NO LANÇAMENTO DE NOVAS VERSÕES E FUNCIONALIDADES, ALÉM DE AGILIZAR O DESENVOLVIMENTO E AUMENTAR A ESTABILIDADE DAS APLICAÇÕES.
  • 3. DEVSECOPS • É A INTEGRAÇÃO DA EQUIPE DE SEGURANÇA COM AS EQUIPES DE DESENVOLVIMENTO E OPERAÇÕES, BUSCANDO TODOS OS BENEFÍCIOS DO DEVOPS SEM RENUNCIAR A SEGURANÇA E, AINDA, UTILIZAR A MESMA FILOSOFIA DE ENTREGA RÁPIDA ADICIONANDO ETAPAS DE SEGURANÇA NO CICLO DE DESENVOLVIMENTO DE SOFTWARE.
  • 4. ONDE A SEGURANÇA ENTRA NESSE PROCESSO? •NO CICLO DE DESENVOLVIMENTO E NO APOIO DAS EQUIPES OPERACIONAIS, OU SEJA, INTEGRAR A EQUIPE DE SEGURANÇA NO PLANEJAMENTO E/OU MELHORIA DE UM SOFTWARE​
  • 5. DEVSECOPS – VISÃO:1) MENTALIDADE FOCADA EM:​ CONFIABILIDADE​ REPETIBILIDADE​ RASTREABILIDADE​ MÍNIMA OU NENHUMA INTERVENÇÃO MANUAL​ 2) PRÁTICAS VOLTADAS PARA AUTOMAÇÃO:​ CONSTRUÇÃO AUTOMATIZADA​ TESTE AUTOMATIZADO​ IMPLEMENTAÇÃO AUTOMATIZADA​ MONITORIZAÇÃO AUTOMATIZADA​ INFRAESTRUTURA AUTOMATIZADA (TECNOLOGIA DE CONTÊINER, ETC.)
  • 6. INICIANDO A SEGURANÇA NO DEVOPS • INFRAESTRUTURA: APLICAR MELHORES PRÁTICAS DE SEGURANÇA PARA A IMPLEMENTAÇÃO DOS SERVIDORES E SERVIÇOS QUE SERÃO UTILIZADOS. • DESENVOLVIMENTO: MAPEAR AS PARTES MAIS CRÍTICAS DO CÓDIGO (EXEMPLOS: API'S, FORMULÁRIOS, SITE COM ACESSO DE LOGIN E SENHA, ETC)​
  • 7. SEGURANÇA E DEVOPS ANDAM JUNTOS • A EQUIPE DE SEGURANÇA DEVE SER PARCEIRA DAS EQUIPES DE DESENVOLVIMENTO E INFRA. OFERECER TREINAMENTOS E DICAS (COMO O PROJETO OWASP - OPEN WEB APPLICATION SECURITY PROJECT), QUE DISPONIBILIZA ARTIGOS, METODOLOGIAS, FERRAMENTAS E TECNOLOGIAS PARA A SEGURANÇA DE APLICAÇÕES WEB. • • SITE OWASP: HTTPS://WWW.OWASP.ORG
  • 8. DEVSECOPS RESULTADOS: • UM CONJUNTO SEGURO E CONSISTENTE DE AMBIENTES DE DESENVOLVIMENTO • INTEGRAÇÃO RÁPIDA DE FORNECEDORES E OUTROS COLABORADORES DO PROJETO POR MEIO DE UM AMBIENTE DE DESENVOLVIMENTO PRÉ-EMPACOTADO​ • QUALIDADE MÍNIMA DE CÓDIGO PADRÃO MEDIDA ATRAVÉS DE TESTES UNITÁRIOS AUTOMATIZADOS E APLICADOS E PADRÕES DE CÓDIGO (VIDE INDICAÇÃO NO SLIDE SEGUINTE)​ • FEEDBACK RÁPIDO ATRAVÉS DE PROCESSOS AUTOMATIZADOS DE ENTREGA CONTÍNUA​ • GERENCIAMENTO DE MUDANÇA (TANTO PARA NOVAS FUNCIONALIDADES QUANTO ALTERAÇÕES EM SERVIDORES E BANCO DE DADOS) • TODAS AS ALTERAÇÕES NOS AMBIENTES (DESENVOLVIMENTO, HOMOLOGAÇÃO E PRODUÇÃO), DEVEM COMTEMPLAR NA VALIDAÇÃO DE DEVSECOPS.
  • 9.
  • 10. Alessandra Soares dos Santos http://github.com/AlessandraSoraesdosSantos/ alessandradesenvolvedora@gmail.com Alessandra Soares Santos https://alessandrasoaressantos.blogspot.com https://www.slideshare.net/AlessandraSoares10/