O documento discute práticas seguras de desenvolvimento de software, incluindo SDL e SDLC, práticas de codificação segura como OWASP Top 10, e ferramentas para automatizar testes de segurança como análise estática de código, varredura de vulnerabilidades e fuzzing.
2. Agenda
● 1) SDLC e SDL
● 2) Práticas de codificação segura
● 3) Automatizando a codificação segura
●
3. SDLC E SDL
● Software Development Lifecycle (SDLC)
4. SDLC E SDL
● Secure Development Lifecycle (SDL)
1- PLANEJAMENTO
Treinar os desenvolvedores no quesito
de segurança, ferramentas a serem
usadas, garantir segurança do
ambiente
2- REQUISITOS
Verificação de segurança com relação
à privacidade dos dados,
processamento e controle de acesso
3- DESIGN
Identificação de ameaças e
estabelecimento de controles de
segurança
5. SDLC E SDL
● Secure Development Lifecycle (SDL)
4- IMPLEMENTAÇÃO
Revisão white box de análise de
código e revisão com finalidade de
encontrar possíveis vulnerabilidades
5- TESTE E INTEGRAÇÃO
Análise black box ou gray box para
testar se existe vulnerabilidade
6- MANUTENÇÃO
Monitoramento de segurança contínuo
em paridade com as práticas de
resposta a incidentes, além de
gerenciamento de patch
8. PRÁTICAS DE CODIFICAÇÃO
SEGURA
● OWASP TOP 10 (Dados de 2017)
– Vazamento de dados
Credenciais
Dados pessoais
Identidade dos usuários
Código fonte da aplicação
ID de sessão
Informações de cartão de crédito
9. PRÁTICAS DE CODIFICAÇÃO
SEGURA
● OWASP TOP 10 (Dados de 2017)
– Nível de segurança das aplicações
Extremamente pobre
Pobre
Pouco abaixo da média
Na média
Acima da média
10. AUTOMATIZANDO A
CODIFICAÇÃO SEGURA
● Fases de teste de segurança
– 1.Análise estática de código
– 2.Scan de vulnerabilidade em aplicações web
– 3.Fuzzing
– 4.nterceptação de proxy
Foco desta palestra