SlideShare uma empresa Scribd logo

DevSecOps: Segurança como prioridade no desenvolvimento contínuo

Transferir como PPTX, PDF
Eleriane Cristina Costa
Eleriane Cristina Costa

O documento discute DevSecOps, abordando como a segurança deve ser uma prioridade desde o início do ciclo de desenvolvimento, não apenas após a implantação. Apresenta estatísticas mostrando que muitas empresas reduzem medidas de segurança para atender prazos, e que times de operações nem sempre seguem práticas seguras. Também lista algumas das principais ameaças de segurança e ferramentas que podem ser usadas para aplicar conceitos de DevSecOps, como análise de código e verificação de qualidade.

Tecnologia
1 de 13
 Desenvolvedora .Net e agora novidades  MTAC  DevelopersBR linkedin.com/in/elerianecosta/ linkedin.com/benany github.com/Eleriane
DevOps
“A UNIÃO DE PESSOAS, PROCESSOS E FERRAMENTAS PARA PERMITIR A ENTREGA CONTÍNUA DE VALOR PARA NOSSO CLIENTE.“
E QUANDO DEVEMOS NOS PREOCUPAR COM SEGURANÇA? • Após a release? • Dá para pensar em segurança com cenários competitivos que mudam rapidamente? • Precisamos fornecer serviço estável, confiável e seguro para nossos clientes, faz parte do valor!
DEVSECOPS 52% Das empresas reduzem as medidas de segurança para cumprir prazos de negócio 68% Afirmam que seus CEOs exigem que as equipes de desenvolvimento não atrapalhem os negócios 62% Dos times de operações recuam quando solicitados a implementar deploys com segurança 57% Dos times de operação não seguem as melhores práticas de segurança https://www.threatstack.com/resources/secops-2018
DEVSECOPS
DEVSECOPS Plan Build Release Segurança Segurança como prioridade Requisitos de Segurança Configuration manager Testes de segurança automatizados
OWASP – TOP 10 • Injection • Broken Authentication • Sensitive Data Exposure • XML Eternal Entities (or XXE) • Broken Access Control • Security Misconfiguration • Cross-Site Scripting (or XSS) • Insecure Deserialization • Using Components With known vulnerabilities • Insufficient Logging And Monitoring https://dzone.com/articles/owasp-top-10-api-securityhttps://owasp.org/www-project-top-ten/
DEMO - APLICANDO DEVSECOPS • Roslyn – Análise de código
DEMO - APLICANDO DEVSECOPS • SonarCloud – verificação da qualidade de código
DEMO - APLICANDO DEVSECOPS • WhiteSource monitoramento de softwares de terceiros
linkedin.com/in/elerianecosta/ linkedin.com/benany github.com/Eleriane

Recomendados

DevSecOps - Workshop do Bem
DevSecOps - Workshop do BemDevSecOps - Workshop do Bem
DevSecOps - Workshop do BemBruno Dantas
 
Introdução à Segurança de Containers e Kubernetes
Introdução à Segurança de Containers e KubernetesIntrodução à Segurança de Containers e Kubernetes
Introdução à Segurança de Containers e KubernetesTenchi Security
 
Webinar Segurança de DevOps
Webinar Segurança de DevOpsWebinar Segurança de DevOps
Webinar Segurança de DevOpsTenchi Security
 
CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil
CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil
CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil Bruno Dantas
 
DevOpsDays Brasilia - DevSecOps: Adotando uma cultura de segurança ágil
DevOpsDays Brasilia - DevSecOps: Adotando uma cultura de segurança ágilDevOpsDays Brasilia - DevSecOps: Adotando uma cultura de segurança ágil
DevOpsDays Brasilia - DevSecOps: Adotando uma cultura de segurança ágilBruno Dantas
 
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)Erick Belluci Tedeschi
 
[TDC-Arquitetura Java] Pastoreando Gatos
[TDC-Arquitetura Java] Pastoreando Gatos[TDC-Arquitetura Java] Pastoreando Gatos
[TDC-Arquitetura Java] Pastoreando GatosRodrigo Stefani Domingues
 
Achieving DevSecOps Outcomes with Tanzu Advanced - Portuguese
Achieving DevSecOps Outcomes with Tanzu Advanced - PortugueseAchieving DevSecOps Outcomes with Tanzu Advanced - Portuguese
Achieving DevSecOps Outcomes with Tanzu Advanced - PortugueseVMware Tanzu
 

Recomendados

DevSecOps - Workshop do Bem
DevSecOps - Workshop do BemDevSecOps - Workshop do Bem
DevSecOps - Workshop do BemBruno Dantas
 
Introdução à Segurança de Containers e Kubernetes
Introdução à Segurança de Containers e KubernetesIntrodução à Segurança de Containers e Kubernetes
Introdução à Segurança de Containers e KubernetesTenchi Security
 
Webinar Segurança de DevOps
Webinar Segurança de DevOpsWebinar Segurança de DevOps
Webinar Segurança de DevOpsTenchi Security
 
CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil
CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil
CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil Bruno Dantas
 
DevOpsDays Brasilia - DevSecOps: Adotando uma cultura de segurança ágil
DevOpsDays Brasilia - DevSecOps: Adotando uma cultura de segurança ágilDevOpsDays Brasilia - DevSecOps: Adotando uma cultura de segurança ágil
DevOpsDays Brasilia - DevSecOps: Adotando uma cultura de segurança ágilBruno Dantas
 
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)Erick Belluci Tedeschi
 
[TDC-Arquitetura Java] Pastoreando Gatos
[TDC-Arquitetura Java] Pastoreando Gatos[TDC-Arquitetura Java] Pastoreando Gatos
[TDC-Arquitetura Java] Pastoreando GatosRodrigo Stefani Domingues
 
Achieving DevSecOps Outcomes with Tanzu Advanced - Portuguese
Achieving DevSecOps Outcomes with Tanzu Advanced - PortugueseAchieving DevSecOps Outcomes with Tanzu Advanced - Portuguese
Achieving DevSecOps Outcomes with Tanzu Advanced - PortugueseVMware Tanzu
 
PCI DSS e Metodologias Ágeis
PCI DSS e Metodologias ÁgeisPCI DSS e Metodologias Ágeis
PCI DSS e Metodologias ÁgeisUlisses Albuquerque
 
Padrões de deploy para DevOps e Entrega Contínua, por Danilo Sato
Padrões de deploy para DevOps e Entrega Contínua, por Danilo SatoPadrões de deploy para DevOps e Entrega Contínua, por Danilo Sato
Padrões de deploy para DevOps e Entrega Contínua, por Danilo SatoThoughtworks
 
Entendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento SeguroEntendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento SeguroKleitor Franklint Correa Araujo
 
Segurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwaresSegurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwaresLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Cloud Native Enterprise
Cloud Native EnterpriseCloud Native Enterprise
Cloud Native EnterpriseVictor Fonseca
 
Desenvolvimento Seguro
Desenvolvimento SeguroDesenvolvimento Seguro
Desenvolvimento SeguroAndré Luís Cardoso
 
Você Escreve Código e Quem Valida?
Você Escreve Código e Quem Valida?Você Escreve Código e Quem Valida?
Você Escreve Código e Quem Valida?Conviso Application Security
 
Desenvolvimento Seguro- 2011
Desenvolvimento Seguro- 2011Desenvolvimento Seguro- 2011
Desenvolvimento Seguro- 2011Kleitor Franklint Correa Araujo
 
O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408Conviso Application Security
 
Provisionando ambientes de Dev e Teste com Azure DevTest Labs e VSTS
Provisionando ambientes de Dev e Teste com Azure DevTest Labs e VSTSProvisionando ambientes de Dev e Teste com Azure DevTest Labs e VSTS
Provisionando ambientes de Dev e Teste com Azure DevTest Labs e VSTSIgor Abade
 
DevSecOps - Segurança em um pipeline contínuo
DevSecOps - Segurança em um pipeline contínuoDevSecOps - Segurança em um pipeline contínuo
DevSecOps - Segurança em um pipeline contínuoEndrigo Antonini
 
Segurança no Desenvolvimento de Software
Segurança no Desenvolvimento de SoftwareSegurança no Desenvolvimento de Software
Segurança no Desenvolvimento de SoftwareMarcelo Fleury
 
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMArtigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMBruno Motta Rego
 
Lista de desejos de um Chief Security Officer
Lista de desejos de um Chief Security OfficerLista de desejos de um Chief Security Officer
Lista de desejos de um Chief Security OfficerAmazon Web Services LATAM
 
MIT DevOps IaC - Infra como Código
MIT DevOps IaC - Infra como CódigoMIT DevOps IaC - Infra como Código
MIT DevOps IaC - Infra como CódigoCaio Candido
 
Institucional Tech For TI
Institucional Tech For TIInstitucional Tech For TI
Institucional Tech For TItechforti
 
DevOps Tour SP 2019
DevOps Tour SP 2019DevOps Tour SP 2019
DevOps Tour SP 2019Edgar Silva
 
O que uma enterprise deveria fazer nos primeiros 90 dias
O que uma enterprise deveria fazer nos primeiros 90 diasO que uma enterprise deveria fazer nos primeiros 90 dias
O que uma enterprise deveria fazer nos primeiros 90 diasAmazon Web Services LATAM
 
Curso "Scrum na Real" - Parte 6
Curso "Scrum na Real" - Parte 6Curso "Scrum na Real" - Parte 6
Curso "Scrum na Real" - Parte 6leobower
 
Jornada para a Nuvem: Como planejar e executar sua migração com a ajuda do AW...
Jornada para a Nuvem: Como planejar e executar sua migração com a ajuda do AW...Jornada para a Nuvem: Como planejar e executar sua migração com a ajuda do AW...
Jornada para a Nuvem: Como planejar e executar sua migração com a ajuda do AW...Amazon Web Services LATAM
 
O que é DevOps? Introdução à abordagem pela IBM
O que é DevOps? Introdução à abordagem pela IBMO que é DevOps? Introdução à abordagem pela IBM
O que é DevOps? Introdução à abordagem pela IBMFelipe Freire
 
DevOps Braga #4: Infrastructure as Code: Impulsionar DevOps
DevOps Braga #4: Infrastructure as Code: Impulsionar DevOpsDevOps Braga #4: Infrastructure as Code: Impulsionar DevOps
DevOps Braga #4: Infrastructure as Code: Impulsionar DevOpsDevOps Braga
 

Mais conteúdo relacionado

Mais procurados

Padrões de deploy para DevOps e Entrega Contínua, por Danilo Sato
Padrões de deploy para DevOps e Entrega Contínua, por Danilo SatoPadrões de deploy para DevOps e Entrega Contínua, por Danilo Sato
Padrões de deploy para DevOps e Entrega Contínua, por Danilo SatoThoughtworks
 
Cloud Native Enterprise
Cloud Native EnterpriseCloud Native Enterprise
Cloud Native EnterpriseVictor Fonseca
 
O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408Conviso Application Security
 
Provisionando ambientes de Dev e Teste com Azure DevTest Labs e VSTS
Provisionando ambientes de Dev e Teste com Azure DevTest Labs e VSTSProvisionando ambientes de Dev e Teste com Azure DevTest Labs e VSTS
Provisionando ambientes de Dev e Teste com Azure DevTest Labs e VSTSIgor Abade
 
DevSecOps - Segurança em um pipeline contínuo
DevSecOps - Segurança em um pipeline contínuoDevSecOps - Segurança em um pipeline contínuo
DevSecOps - Segurança em um pipeline contínuoEndrigo Antonini
 
Segurança no Desenvolvimento de Software
Segurança no Desenvolvimento de SoftwareSegurança no Desenvolvimento de Software
Segurança no Desenvolvimento de SoftwareMarcelo Fleury
 
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMArtigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMBruno Motta Rego
 

Mais procurados (13)

PCI DSS e Metodologias Ágeis
PCI DSS e Metodologias ÁgeisPCI DSS e Metodologias Ágeis
PCI DSS e Metodologias Ágeis
 
Padrões de deploy para DevOps e Entrega Contínua, por Danilo Sato
Padrões de deploy para DevOps e Entrega Contínua, por Danilo SatoPadrões de deploy para DevOps e Entrega Contínua, por Danilo Sato
Padrões de deploy para DevOps e Entrega Contínua, por Danilo Sato
 
Entendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento SeguroEntendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento Seguro
 
Segurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwaresSegurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwares
 
Cloud Native Enterprise
Cloud Native EnterpriseCloud Native Enterprise
Cloud Native Enterprise
 
Desenvolvimento Seguro
Desenvolvimento SeguroDesenvolvimento Seguro
Desenvolvimento Seguro
 
Você Escreve Código e Quem Valida?
Você Escreve Código e Quem Valida?Você Escreve Código e Quem Valida?
Você Escreve Código e Quem Valida?
 
Desenvolvimento Seguro- 2011
Desenvolvimento Seguro- 2011Desenvolvimento Seguro- 2011
Desenvolvimento Seguro- 2011
 
O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408
 
Provisionando ambientes de Dev e Teste com Azure DevTest Labs e VSTS
Provisionando ambientes de Dev e Teste com Azure DevTest Labs e VSTSProvisionando ambientes de Dev e Teste com Azure DevTest Labs e VSTS
Provisionando ambientes de Dev e Teste com Azure DevTest Labs e VSTS
 
DevSecOps - Segurança em um pipeline contínuo
DevSecOps - Segurança em um pipeline contínuoDevSecOps - Segurança em um pipeline contínuo
DevSecOps - Segurança em um pipeline contínuo
 
Segurança no Desenvolvimento de Software
Segurança no Desenvolvimento de SoftwareSegurança no Desenvolvimento de Software
Segurança no Desenvolvimento de Software
 
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMArtigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
 

Semelhante a DevSecOps: Segurança como prioridade no desenvolvimento contínuo

Lista de desejos de um Chief Security Officer
Lista de desejos de um Chief Security OfficerLista de desejos de um Chief Security Officer
Lista de desejos de um Chief Security OfficerAmazon Web Services LATAM
 
MIT DevOps IaC - Infra como Código
MIT DevOps IaC - Infra como CódigoMIT DevOps IaC - Infra como Código
MIT DevOps IaC - Infra como CódigoCaio Candido
 
Institucional Tech For TI
Institucional Tech For TIInstitucional Tech For TI
Institucional Tech For TItechforti
 
DevOps Tour SP 2019
DevOps Tour SP 2019DevOps Tour SP 2019
DevOps Tour SP 2019Edgar Silva
 
O que uma enterprise deveria fazer nos primeiros 90 dias
O que uma enterprise deveria fazer nos primeiros 90 diasO que uma enterprise deveria fazer nos primeiros 90 dias
O que uma enterprise deveria fazer nos primeiros 90 diasAmazon Web Services LATAM
 
Curso "Scrum na Real" - Parte 6
Curso "Scrum na Real" - Parte 6Curso "Scrum na Real" - Parte 6
Curso "Scrum na Real" - Parte 6leobower
 
Jornada para a Nuvem: Como planejar e executar sua migração com a ajuda do AW...
Jornada para a Nuvem: Como planejar e executar sua migração com a ajuda do AW...Jornada para a Nuvem: Como planejar e executar sua migração com a ajuda do AW...
Jornada para a Nuvem: Como planejar e executar sua migração com a ajuda do AW...Amazon Web Services LATAM
 
O que é DevOps? Introdução à abordagem pela IBM
O que é DevOps? Introdução à abordagem pela IBMO que é DevOps? Introdução à abordagem pela IBM
O que é DevOps? Introdução à abordagem pela IBMFelipe Freire
 
DevOps Braga #4: Infrastructure as Code: Impulsionar DevOps
DevOps Braga #4: Infrastructure as Code: Impulsionar DevOpsDevOps Braga #4: Infrastructure as Code: Impulsionar DevOps
DevOps Braga #4: Infrastructure as Code: Impulsionar DevOpsDevOps Braga
 
Phprs meetup - deploys automatizados com gitlab
Phprs meetup - deploys automatizados com gitlabPhprs meetup - deploys automatizados com gitlab
Phprs meetup - deploys automatizados com gitlabJackson F. de A. Mafra
 
Workshop - The DevOps Cookbook
Workshop - The DevOps Cookbook Workshop - The DevOps Cookbook
Workshop - The DevOps Cookbook Marcio Sete
 
GABC 2018 - Hands-On: DevOps, CI e CD
GABC 2018 - Hands-On: DevOps, CI e CDGABC 2018 - Hands-On: DevOps, CI e CD
GABC 2018 - Hands-On: DevOps, CI e CDJaqueline Ramos
 
Introdução à SRE (.Net Vale Tech Saturday - DevSecOps)
Introdução à SRE (.Net Vale Tech Saturday - DevSecOps)Introdução à SRE (.Net Vale Tech Saturday - DevSecOps)
Introdução à SRE (.Net Vale Tech Saturday - DevSecOps)Igor Abade
 
Agile e Testes: Um Relato de Experiência da Indústria
Agile e Testes: Um Relato de Experiência da IndústriaAgile e Testes: Um Relato de Experiência da Indústria
Agile e Testes: Um Relato de Experiência da IndústriaAndré Abe Vicente
 
Validando a Segurança de Software
Validando a Segurança de SoftwareValidando a Segurança de Software
Validando a Segurança de SoftwareJeronimo Zucco
 
AWS Initiate week 2020 - Adoção de Nuvem com AWS ProServe
AWS Initiate week 2020 - Adoção de Nuvem com AWS ProServeAWS Initiate week 2020 - Adoção de Nuvem com AWS ProServe
AWS Initiate week 2020 - Adoção de Nuvem com AWS ProServeAmazon Web Services LATAM
 
Muita gestão e pouca engenharia, por onde anda o XP?
Muita gestão e pouca engenharia, por onde anda o XP?Muita gestão e pouca engenharia, por onde anda o XP?
Muita gestão e pouca engenharia, por onde anda o XP?Cristiano Schwening
 

Semelhante a DevSecOps: Segurança como prioridade no desenvolvimento contínuo (20)

Lista de desejos de um Chief Security Officer
Lista de desejos de um Chief Security OfficerLista de desejos de um Chief Security Officer
Lista de desejos de um Chief Security Officer
 
MIT DevOps IaC - Infra como Código
MIT DevOps IaC - Infra como CódigoMIT DevOps IaC - Infra como Código
MIT DevOps IaC - Infra como Código
 
Institucional Tech For TI
Institucional Tech For TIInstitucional Tech For TI
Institucional Tech For TI
 
DevOps Tour SP 2019
DevOps Tour SP 2019DevOps Tour SP 2019
DevOps Tour SP 2019
 
O que uma enterprise deveria fazer nos primeiros 90 dias
O que uma enterprise deveria fazer nos primeiros 90 diasO que uma enterprise deveria fazer nos primeiros 90 dias
O que uma enterprise deveria fazer nos primeiros 90 dias
 
Curso "Scrum na Real" - Parte 6
Curso "Scrum na Real" - Parte 6Curso "Scrum na Real" - Parte 6
Curso "Scrum na Real" - Parte 6
 
Jornada para a Nuvem: Como planejar e executar sua migração com a ajuda do AW...
Jornada para a Nuvem: Como planejar e executar sua migração com a ajuda do AW...Jornada para a Nuvem: Como planejar e executar sua migração com a ajuda do AW...
Jornada para a Nuvem: Como planejar e executar sua migração com a ajuda do AW...
 
O que é DevOps? Introdução à abordagem pela IBM
O que é DevOps? Introdução à abordagem pela IBMO que é DevOps? Introdução à abordagem pela IBM
O que é DevOps? Introdução à abordagem pela IBM
 
DevOps Braga #4: Infrastructure as Code: Impulsionar DevOps
DevOps Braga #4: Infrastructure as Code: Impulsionar DevOpsDevOps Braga #4: Infrastructure as Code: Impulsionar DevOps
DevOps Braga #4: Infrastructure as Code: Impulsionar DevOps
 
Phprs meetup - deploys automatizados com gitlab
Phprs meetup - deploys automatizados com gitlabPhprs meetup - deploys automatizados com gitlab
Phprs meetup - deploys automatizados com gitlab
 
DevOps é SIM uma questão de QA
DevOps é SIM uma questão de QADevOps é SIM uma questão de QA
DevOps é SIM uma questão de QA
 
Workshop - The DevOps Cookbook
Workshop - The DevOps Cookbook Workshop - The DevOps Cookbook
Workshop - The DevOps Cookbook
 
GABC 2018 - Hands-On: DevOps, CI e CD
GABC 2018 - Hands-On: DevOps, CI e CDGABC 2018 - Hands-On: DevOps, CI e CD
GABC 2018 - Hands-On: DevOps, CI e CD
 
Introdução à SRE (.Net Vale Tech Saturday - DevSecOps)
Introdução à SRE (.Net Vale Tech Saturday - DevSecOps)Introdução à SRE (.Net Vale Tech Saturday - DevSecOps)
Introdução à SRE (.Net Vale Tech Saturday - DevSecOps)
 
Agile e Testes: Um Relato de Experiência da Indústria
Agile e Testes: Um Relato de Experiência da IndústriaAgile e Testes: Um Relato de Experiência da Indústria
Agile e Testes: Um Relato de Experiência da Indústria
 
Validando a Segurança de Software
Validando a Segurança de SoftwareValidando a Segurança de Software
Validando a Segurança de Software
 
Startups e DevOps
Startups e DevOpsStartups e DevOps
Startups e DevOps
 
AWS Initiate week 2020 - Adoção de Nuvem com AWS ProServe
AWS Initiate week 2020 - Adoção de Nuvem com AWS ProServeAWS Initiate week 2020 - Adoção de Nuvem com AWS ProServe
AWS Initiate week 2020 - Adoção de Nuvem com AWS ProServe
 
DevOps e App Insights
DevOps e App InsightsDevOps e App Insights
DevOps e App Insights
 
Muita gestão e pouca engenharia, por onde anda o XP?
Muita gestão e pouca engenharia, por onde anda o XP?Muita gestão e pouca engenharia, por onde anda o XP?
Muita gestão e pouca engenharia, por onde anda o XP?
 

DevSecOps: Segurança como prioridade no desenvolvimento contínuo

  • 1.
  • 2.  Desenvolvedora .Net e agora novidades  MTAC  DevelopersBR linkedin.com/in/elerianecosta/ linkedin.com/benany github.com/Eleriane
  • 4. “A UNIÃO DE PESSOAS, PROCESSOS E FERRAMENTAS PARA PERMITIR A ENTREGA CONTÍNUA DE VALOR PARA NOSSO CLIENTE.“
  • 5. E QUANDO DEVEMOS NOS PREOCUPAR COM SEGURANÇA? • Após a release? • Dá para pensar em segurança com cenários competitivos que mudam rapidamente? • Precisamos fornecer serviço estável, confiável e seguro para nossos clientes, faz parte do valor!
  • 6. DEVSECOPS 52% Das empresas reduzem as medidas de segurança para cumprir prazos de negócio 68% Afirmam que seus CEOs exigem que as equipes de desenvolvimento não atrapalhem os negócios 62% Dos times de operações recuam quando solicitados a implementar deploys com segurança 57% Dos times de operação não seguem as melhores práticas de segurança https://www.threatstack.com/resources/secops-2018
  • 8. DEVSECOPS Plan Build Release Segurança Segurança como prioridade Requisitos de Segurança Configuration manager Testes de segurança automatizados
  • 9. OWASP – TOP 10 • Injection • Broken Authentication • Sensitive Data Exposure • XML Eternal Entities (or XXE) • Broken Access Control • Security Misconfiguration • Cross-Site Scripting (or XSS) • Insecure Deserialization • Using Components With known vulnerabilities • Insufficient Logging And Monitoring https://dzone.com/articles/owasp-top-10-api-securityhttps://owasp.org/www-project-top-ten/
  • 10. DEMO - APLICANDO DEVSECOPS • Roslyn – Análise de código
  • 11. DEMO - APLICANDO DEVSECOPS • SonarCloud – verificação da qualidade de código
  • 12. DEMO - APLICANDO DEVSECOPS • WhiteSource monitoramento de softwares de terceiros