DevSecOps é sobre adotar uma cultura de segurança ágil através de processos, ferramentas e práticas de segurança no desenvolvimento de software. As equipes precisam dizer "sim" com responsabilidade, disseminar a preocupação com segurança e participar de todas as reuniões para resolver problemas de segurança que surjam depois que o código for para produção.

2. DevSecOps
Adotando uma cultura de segurança ágil
Bruno Dantas

3. Em 2003 construí um site dinâmico em ASP 3 :-)

4. Pouco tempo depois recebi um e-mail do Registro.br

6. ‘ OR 1 = 1 --
Motivo

7. Ranking das Vulnerabilidades Web mais Críticas

8. CVE 2017-5638
RCE (Remote Code Execution)
Caso

9. Foto acima protegida por direitos autorais
Crédito: Copyright © 2017 Checkmarx.com LTD
1. Diz NÃO pra tudo maioria das coisas
2. Descobre vulnerabilidades depois de algo novo ir para produção
3. Não sabe lidar com o time de Dev
Postura comum dos times de Segurança

10. Como resolver isso?

11. Agile sSDLC
DevOps Security
SecDevOps
Agile Security DevOpsSec
Vários nomes para a “mesma coisa”
Engenharia de
Software
Operação de
Tecnologia
Controle de
Qualidade
Segurança
DevOps
Seguro

12. O começo de tudo…

13. DevSecOps é…
cultura
processos
ferramentas

14. Diferente do DevOps, existe um manifesto…
www.devsecops.org

15. Estratégia & Métricas
Política & Compliance
Orientação & Educação
Avaliação de Ameaça
Requisitos de
Segurança
Arquitetura de
Segurança
Revisão de Design
Revisão da Implantação
Teste de Segurança
Gestão de Problemas
Hardening do Ambiente
Aperfeiçoamento
Operacional
Práticas de Segurança
Governança Construção Verificação Operações
Funções de Negócio
Baseado no OpenSAMM
Segurança Contínua
no Desenvolvimento de Software
Framework de

16. #1 cultura
• Saber dizer “SIM” com
responsabilidade
• Disseminar a
preocupação com
segurança
• Querer participar de
todas as reuniões
• Dizer “NÃO” na maioria
das vezes
Imagem acima protegida por direitos autorais
Crédito: Copyright © 2017 Checkmarx.com LTD

17. #2 processos
• Começar com processo
simples
• Gerar indicadores sempre
• Burlar os processos
para colocar as coisas
mais rápido no ar
• Querer automatizar
todos os processos

18. #3 ferramentas
• Adotar soluções open
source
• Manter as ferramentas
atualizadas
• Não querer gastar $$$
com ferramentas boas

19. Exemplo de Processos

20. Builds
Noturnos
Análise
Estática
Análise
Dinâmica
Open
Source
Análise dos
Resultados
Gestão das
Vuln.
Fase 1: Nightly Builds

21. Entrega
Contínua
Análise
Estática
Análise
Dinâmica
Open
Source
Thresholds
Gestão das
Vuln.
Ofuscação
Fase 2: Continuous Delivery

22. Ferramentas que Usamos

23. Stack de Ferramentas
ferramentas de desenvolvimento
Axure
Visual Studio
Code
gestão de fontes
e colaboração
gestão de
requisitos
Caliber
integração
continua
inspeção de
código
ESLint
segurança e
proteção
StarTeam
automação de
testes
Mocha
Chai
Sinon.JS
gestão de pacotes
e proxy
gestão de testes
gestão de issues
e defeitos
Silk Test Silk Test
plataformas
automação de
deployment
testes de stress e
compatibilidade
Bootstrap
+
monitoramento
XCode
Jetbrains
Webstorm

24. Stack de Ferramentas
ferramentas de desenvolvimento
Axure
Visual Studio
Code
gestão de fontes
e colaboração
gestão de
requisitos
Caliber
integração
continua
inspeção de
código
ESLint
segurança e
proteção
StarTeam
automação de
testes
Mocha
Chai
Sinon.JS
gestão de pacotes
e proxy
gestão de testes
gestão de issues
e defeitos
Silk Test Silk Test
plataformas
automação de
deployment
testes de stress e
compatibilidade
Bootstrap
+
monitoramento
XCode
Jetbrains
Webstorm
Desempenha
algum papel de
segurança

25. Obrigado!
bruno.dantas.net@gmail.com
@bdantasnet
linkedin.com/in/bdantas/