1. O documento discute a adoção de práticas de DevSecOps para integrar segurança no desenvolvimento de software de forma ágil. 2. É destacada a importância da cultura, processos e ferramentas para o sucesso do DevSecOps. 3. Exemplos de processos e ferramentas de segurança são apresentados.

1. Bruno Dantas
DevSecOps
adotando uma cultura de segurança ágil

2. bruno.dantas.net@gmail.com
@bdantasnet
linkedin.com/in/bdantas/
Bruno Dantas
Arquiteto de Segurança da Software
Banco Safra
17 anos de experiência com TI
8 anos trabalhando na indústria financeira
5 anos com segurança
Amante de carros, aviões e meus filhos 

3. Em 2003 construí um site dinâmico em ASP 3 :-)

4. Pouco tempo depois recebi um e-mail do Registro.br

6. ‘ OR 1 = 1 --
Motivo

7. Ranking das Vulnerabilidades Web mais Críticas

8. CVE 2017-5638
RCE (Remote Code Execution)
Caso

9. Foto acima protegida por direitos autorais
Crédito: Copyright © 2017 Checkmarx.com LTD
1. Diz NÃO pra tudo maioria das coisas
2. Descobre as vulnerabilidades depois de algo ir para produção
3. Não sabe lidar com o time de Dev
Postura comum dos times de Segurança

10. Como resolver isso?

11. Agile sSDLC
DevOps Security
SecDevOps
Agile Security DevOpsSec
Vários nomes para a “mesma coisa”
Engenharia de
Software
Operação de
Tecnologia
Controle de
Qualidade
Segurança
DevOps
Seguro
Rugged DevOps

12. O começo de tudo…

13. DevSecOps é…
cultura
processos
ferramentas

14. Diferente do DevOps, existe um manifesto…
www.devsecops.org

15. Estratégia & Métricas
Política & Compliance
Orientação & Educação
Avaliação de Ameaça
Requisitos de
Segurança
Arquitetura de
Segurança
Revisão de Design
Revisão da Implantação
Teste de Segurança
Gestão de Problemas
Hardening do Ambiente
Aperfeiçoamento
Operacional
Práticas de Segurança
Governança Construção Verificação Operações
Funções de Negócio
Baseado no OpenSAMM
Segurança Contínua
no Desenvolvimento de Software
Framework de

16. #1 cultura
• Saber dizer “SIM” com
responsabilidade
• Disseminar a
preocupação com
segurança
• Querer participar de
todas as reuniões
• Praticar segurança por
obscuridade
Imagem acima protegida por direitos autorais
Crédito: Copyright © 2017 Checkmarx.com LTD

17. #2 processos
• Começar com processo
simples
• Gerar indicadores sempre
• Burlar os processos
para colocar as coisas
mais rápido no ar
• Querer automatizar
todos os processos

18. #3 ferramentas
• Adotar soluções open
source
• Manter as ferramentas
atualizadas
• Não querer gastar $$$
com ferramentas boas

19. Exemplo de Processos

20. Builds
Noturnos
Análise
Estática
Análise
Dinâmica
Open
Source
Análise dos
Resultados
Gestão das
Vuln.
Fase 1: Nightly Builds

21. Entrega
Contínua
Análise
Estática
Análise
Dinâmica
Open
Source
Thresholds
Gestão das
Vuln.
Ofuscação
Fase 2: Continuous Delivery

22. Ferramentas que Usamos

23. Stack de Ferramentas
ferramentas de desenvolvimento
Axure
Visual Studio
Code
gestão de fontes
e colaboração
gestão de
requisitos
Caliber
integração
continua
inspeção de
código
ESLint
segurança e
proteção
StarTeam
automação de
testes
Mocha
Chai
Sinon.JS
gestão de pacotes
e proxy
gestão de testes
gestão de issues
e defeitos
Silk Test Silk Test
plataformas
automação de
deployment
testes de stress e
compatibilidade
Bootstrap
+
monitoramento
XCode
Jetbrains
Webstorm

24. Stack de Ferramentas
ferramentas de desenvolvimento
Axure
Visual Studio
Code
gestão de fontes
e colaboração
gestão de
requisitos
Caliber
integração
continua
inspeção de
código
ESLint
segurança e
proteção
StarTeam
automação de
testes
Mocha
Chai
Sinon.JS
gestão de pacotes
e proxy
gestão de testes
gestão de issues
e defeitos
Silk Test Silk Test
plataformas
automação de
deployment
testes de stress e
compatibilidade
Bootstrap
+
monitoramento
XCode
Jetbrains
Webstorm
Desempenha
algum papel de
segurança

25. • Stack de ferramentas opensource de segurança
• Segurança em nuvem pública
• Infraestrutura como código segura
• Treinamento Disseminação do conhecimento
O que não falamos

26. Obrigado!
bruno.dantas.net@gmail.com
@bdantasnet
linkedin.com/in/bdantas/