DevSecOps nada mais é a união dos benefícios da cultura DevOps com práticas e processos da segurança da informação, um dos grandes desafios desta nova onda é como de fato implementar e automatizar ferramentas de segurança dentro do ciclo de desenvolvimento de software até o momento do deploy. A palestra tem uma abordagem prática e teórica de soluções automatizadas com Docker e Jenkins para incrementar segurança desde a integração contínua (CI) até a entrega contínua (CD), soluções que também permitem o monitoramento automatizado de vulnerabilidades em redes e sites.

1. [DevSecOps]
CI / CD
&&
TDC – São Paulo – 2019
Vagnerd
<vagner.rodrigues@gmail.com>
Vuln Scan || Pentest
https://www.linkedin.com/in/vagnerd/

2. Vagner Rodrigues Fernandes
15 Anos de experiência
BSD / Linux
OpenBSD-BR Founder
Administrador de sistemas
DevOps
(Aka Vagnerd)

3. DevSecOps
“
De maneira bastante resumida, DevOps refere-se ao processo integrado entre
desenvolvimento de sistemas e operações de TI.
Em suma, é um esforço transversal de negócios para transformar a
mentalidade de criação de software
em ciclos mais curtos, testes mais rápidos, maiores níveis de automação
-
e códigos melhores (e mais seguros).
“

4. Problemas comuns de
segurança no desenvolvimento
de software
(OWASP Top 10)
* Componentes vulneráveis
* Falha de controle na modulação de código (Code Injection)
* Controle de acesso (Autorização)
* Consultas ao banco de dados (SQL injection)
* Dados sensíveis

5. SCA / SAST / DAST
* SCA - Software Composition Analysis
* SAST - Static Application Security Testing
* DAST - Dynamic Application Security Testing

6. Pipeline
Automated Security Testing

7. SCA
Software Composition Analysis
* OWASP Dependency-Check
* OWASP Dependecy-Track
“Peguei na internet / não é código meu”

8. 8
Dependency-Check Plugin
Dependency-Check Build Step
Dependency-Check Post Build

9. 9
Dependency-Check
Dependency-Check Trends

10. SAST
Static Application Security
Testing
* SonarQube (Community Edition / U$150)
* Veracode
“Faz sentido - SQN”

11. 11
SonarQube Scanner Plugin
SonarQube Scanner Build Step

12. 12
SonarQube Scanner

13. 13
SonarQube

14. Deploy

15. DAST
Dynamic Application Security
Testing
* Arachini (Code Injection, XSS, RFI...)
* OWASP ZAP (Code Injection, XSS, RFI...)
* SQLMAP (SQL Injection)
* NIKITO (Code Injection, XSS, RFI…)
“Eu avisei!”

16. 16
DAST - Arachni Scanner

17. 17
DAST - OWASP ZAP

18. 18
DAST Customizável (Dockerfile)

19. 19
DAST Customizável (Jenkinsfile)

20. 20
DAST Customizável

21. 21
DAST Customizável

22. Pentest
Manual / Metasploit Resources
* Metasploit Resources

23. 23
Metasploit Resources (Resource)

24. 24
Metasploit Resources (Dockerfile)

25. 25
Metasploit Resources (Jenkinsfile)

26. Monitoramento
* wazuh-agent
* siem
* Zabbix
* Snort
* fail2ban

27. 27

28. HackerOne
”Bug Bounty são programas de recompensas de bugs oferecidos por muitos
sites, empresas e desenvolvedores de software pelo qual os hackers podem
receber reconhecimento e compensação por relatar bugs, especialmente
aqueles relativos a explorações e vulnerabilidades, são os chamados Exploit
Zero-Day”

29. 29

30. Conclusão
Trazer mais segurança de forma ágil para dentro do ciclo
de desenvolvimento de software com base em falhas
conhecidas e boas práticas de segurança
-
e colaborativa.

31. Dúvidas?
Críticas
Sugestões
vagner.rodrigues@gmail.com

32. Obrigado!