DevSecOps nada mais é a união dos benefícios da cultura DevOps com práticas e processos da segurança da informação, um dos grandes desafios desta nova onda é como de fato implementar e automatizar ferramentas de segurança dentro do ciclo de desenvolvimento de software até o momento do deploy. A palestra tem uma abordagem prática e teórica de soluções automatizadas com Docker e Jenkins para incrementar segurança desde a integração contínua (CI) até a entrega contínua (CD), soluções que também permitem o monitoramento automatizado de vulnerabilidades em redes e sites.
DevSecOps: Integração de segurança no ciclo de desenvolvimento de software
1. [DevSecOps]
CI / CD
&&
TDC – São Paulo – 2019
Vagnerd
<vagner.rodrigues@gmail.com>
Vuln Scan || Pentest
https://www.linkedin.com/in/vagnerd/
2. Vagner Rodrigues Fernandes
15 Anos de experiência
BSD / Linux
OpenBSD-BR Founder
Administrador de sistemas
DevOps
(Aka Vagnerd)
3. DevSecOps
“
De maneira bastante resumida, DevOps refere-se ao processo integrado entre
desenvolvimento de sistemas e operações de TI.
Em suma, é um esforço transversal de negócios para transformar a
mentalidade de criação de software
em ciclos mais curtos, testes mais rápidos, maiores níveis de automação
-
e códigos melhores (e mais seguros).
“
4. Problemas comuns de
segurança no desenvolvimento
de software
(OWASP Top 10)
* Componentes vulneráveis
* Falha de controle na modulação de código (Code Injection)
* Controle de acesso (Autorização)
* Consultas ao banco de dados (SQL injection)
* Dados sensíveis
28. HackerOne
”Bug Bounty são programas de recompensas de bugs oferecidos por muitos
sites, empresas e desenvolvedores de software pelo qual os hackers podem
receber reconhecimento e compensação por relatar bugs, especialmente
aqueles relativos a explorações e vulnerabilidades, são os chamados Exploit
Zero-Day”
30. Conclusão
Trazer mais segurança de forma ágil para dentro do ciclo
de desenvolvimento de software com base em falhas
conhecidas e boas práticas de segurança
-
e colaborativa.