1. O documento discute a adoção de práticas de DevSecOps para integrar segurança no desenvolvimento de software de forma ágil.
2. É destacada a importância da cultura, processos e ferramentas para o sucesso do DevSecOps.
3. Exemplos de processos e ferramentas de segurança são apresentados.
11. Agile sSDLC
DevOps Security
SecDevOps
Agile Security DevOpsSec
Vários nomes para a “mesma coisa”
Engenharia de
Software
Operação de
Tecnologia
Controle de
Qualidade
Segurança
DevOps
Seguro
Rugged DevOps
15. Estratégia & Métricas
Política & Compliance
Orientação & Educação
Avaliação de Ameaça
Requisitos de
Segurança
Arquitetura de
Segurança
Revisão de Design
Revisão da Implantação
Teste de Segurança
Gestão de Problemas
Hardening do Ambiente
Aperfeiçoamento
Operacional
Práticas de Segurança
Governança Construção Verificação Operações
Funções de Negócio
Baseado no OpenSAMM
Segurança Contínua
no Desenvolvimento de Software
Framework de
17. #2 processos
• Começar com processo
simples
• Gerar indicadores sempre
• Burlar os processos
para colocar as coisas
mais rápido no ar
• Querer automatizar
todos os processos
18. #3 ferramentas
• Adotar soluções open
source
• Manter as ferramentas
atualizadas
• Não querer gastar $$$
com ferramentas boas
23. Stack de Ferramentas
ferramentas de desenvolvimento
Axure
Visual Studio
Code
gestão de fontes
e colaboração
gestão de
requisitos
Caliber
integração
continua
inspeção de
código
ESLint
segurança e
proteção
StarTeam
automação de
testes
Mocha
Chai
Sinon.JS
gestão de pacotes
e proxy
gestão de testes
gestão de issues
e defeitos
Silk Test Silk Test
plataformas
automação de
deployment
testes de stress e
compatibilidade
Bootstrap
+
monitoramento
XCode
Jetbrains
Webstorm
24. Stack de Ferramentas
ferramentas de desenvolvimento
Axure
Visual Studio
Code
gestão de fontes
e colaboração
gestão de
requisitos
Caliber
integração
continua
inspeção de
código
ESLint
segurança e
proteção
StarTeam
automação de
testes
Mocha
Chai
Sinon.JS
gestão de pacotes
e proxy
gestão de testes
gestão de issues
e defeitos
Silk Test Silk Test
plataformas
automação de
deployment
testes de stress e
compatibilidade
Bootstrap
+
monitoramento
XCode
Jetbrains
Webstorm
Desempenha
algum papel de
segurança
25. • Stack de ferramentas opensource de segurança
• Segurança em nuvem pública
• Infraestrutura como código segura
• Treinamento Disseminação do conhecimento
O que não falamos