SlideShare uma empresa Scribd logo
1 de 23
Baixar para ler offline
ENTENDENDO O SDLC
Security Development Lifecycle
Kleitor Franklint
kleitor@prodam.am.gov.br
Líder OWASP capítulo Manaus
Fábrica de Teste PRODAM
KLEITOR
Entusiasta da Vida,
Qualidade,
Colaborativos,
Ágil,
Teste e
Testes Ágeis.
kleitor.franklint@gmail.com
br.linkedin.com/in/kfranklint
92-99416-0873
SDL ou SDLC: Ciclo de vida de desenvolvimento de
software ou sistemas.
Ou ainda:
Ciclo de vida de desenvolvimento
seguro.
Para não confundir: S-SDL
ENTENDENDO O SDLC
Outras propostas ao título:
Construindo segurança no seu SDL;
SDL, adotando uma proposta peso leve;
Construindo aplicações seguras com práticas ágeis;
Ou ainda...
DESENVOLVIMENTO SEGURO É MAIS SIMPLES QUE VOCÊ PENSA!
ENTENDENDO O SDLC
S- SDL: UM ROADMAP
S-SDL?S-SDL?
 É um programa de práticas no qual segurança é só
mais um atributo de software como usabilidade,
desempenho, escalabilidade, etc;
 Insiste na incorporação de segurança ao Ciclo de
Vida de Desenvolvimento de Software;
 Hackers podem quebrar redes e aplicações de várias formas, por isso existe
a proposta de S-SDL;
 O objetivo cresce sistematicamente. Cada fase do SDLC vai insistir em
segurança para além do atual conjunto de atividades.
 Existe porque vulnerabilidades são identificadas muito tardiamente ou
quando violações de segurança ocorrem.
Iniciativas S-SDLIniciativas S-SDL
Uma proposta de S-SDLUma proposta de S-SDL
 Abordagem sistemática flexível que agregue mais valor ao
conhecimento;
 Orientada a práticas ágeis;
 Integração fácil com atividades correlatas;
 Atividades divididas em processos discretos e simples;
 Que seja fácil de adotar com sua maneira de trabalhar;
 Que resulte em melhorias incrementais à segurança que sejam
facilmente realizáveis, repetíveis e mensuráveis.​​ ​​
Não importa sua metodologia de projetoNão importa sua metodologia de projeto
S-SDL ágil, prático e adaptávelS-SDL ágil, prático e adaptável
Beneficios do SDLBeneficios do SDL
 Erradicar defeitos o mais cedo possível para ser economicamente
viável;
 Colabora com integração com compliance;
 Solução para problemas que não foram ainda claramente definidos;
 Consciência de engenharia potencial causado por problemas de
segurança;
 Identificação dos serviços de segurança compartilhada e reutilização
de estratégias e ferramentas de segurança;
 Melhoria na tomada de decisão através de um processo de gestão de
risco global em tempo hábil;
ÁGIL = Valorável, Leve, Possível e
Prático.
Integrar objetivos
de segurança
com requisitos
Avaliação
de Riscos
Integrar
atividades,
responsáveis,
padrões e
modelos
Modelagem
de ameaças
Alinhar com
objetivos e
requisitos de
segurança;
Codificação
segura, SAST, Spikes.
DAST, Fuzz
Teste Black Box.
Avaliar resultados.
Deploy seguro,
Teste black box
post production
Monitoramento de
incidentes, Revisão
da Infra.
Manutenção
Monitoramento, aprendizado, Revisões, Análises
Atividades do S-SDL
Treinamento
Estratégias de adoção de S-SDLEstratégias de adoção de S-SDL
RACIONALIZAÇÃO DO
ESFORÇO
Classifique suas
Aplicações
Classifique suas
Atividades
“One time”,
“Every Sprint”,
“Bucket requirements”
( não precisam estar completos ,
menos importantes,
e com menos regularidade).
Atividades no S-SDL: Planejamento e Requisitos
 Definir objetivos de segurança no plano de requisitos;
 Modelar riscos;
 Definir e monitorar métricas;
 Aplicar requisito a cada fase;
 Revisar.
Não se pode testar a segurança mais que se pode testar a qualidade.
Atividades no S-SDL: Planejamento e Requisitos
Definir objetivos de segurança no plano de requisitos.
Requisitos podem ser adicionados como tarefas dentro de um release;
Todos os requisitos “every sprint” devem estar completos e exceções a eles garantidas;
Pelo menos um requisito da categoria Bucket deve estar pronto, ou um exceção concedida a ele;
Nenhum requisito “One time” excedeu período de carência.
Modelar riscos.
Defina o escopo: orientada a Empresa, a projeto ou a problema.
Uma lista simples com plano de mitigação integrada ao plano de requisitos é um bom começo.
Definir e monitorar métricas.
Desenvolver estratégias para gerar métricas;
Definir métricas alcançaveis e aplicáveis;
Como as métricas serão relatadas: relatório de teste, bugtrack, daily scrum, dashboard, etc
Contabilize as vulnerabilidades "pre-SDL" e “pós-SDL por período;
Modelagem de ameaças ( crítico every sprint, apenas os novos );
Desenho de casos de uso de vulnerabilidade;
Desenho da arquitetura segura;
Desenho do deploy:
Definir padrões de codificação segura;
Desenho do deploy;
Definir padrões de codificação segura;
Definir atividades e responsáveis;
Revisar: checklist
Atividades no S-SDL: Design e arquitetura
Modelagem de ameaças ( crítico every sprint, apenas os novos ):
- Pode ser textual, owasp top 10, diagrama de fluxo;
- Um mínimo, mas útil, pode ser feito analisando pontos de entrada de alto
risco e dados no sistema.
Desenho de casos de uso de vulnerabilidade:
- Quais os serviços de segurança podem ser tornar vulneráveis em
aplicações;
Desenho da arquitetura segura:
- Configuração essencial servidor web ou app, patches;
Desenho do deploy:
- Criptografia, conf. mudanças;
Definir padrões de codificação segura:
- Uso de APIs, OWAP guides, etc;
Atividades no S-SDL: Design e arquitetura
 Utilizar melhores práticas de codificação segura;
- CERT Secure Coding Initiative28, O WASP CLASP, Microsoft SDL.
- Não defina modelos semideuses, pense em viável e produtivo.
 Executar análise estática de código(SAST);
Cumprir: alinhar Design, arquitetura e requisitos de segurança;
- Meu ambiente está pronto?
Use um spike como experimento de codificação e teste;
Revisão: periódica ou pró sprint
Atividades no S-SDL: Desenvolvimento
Black box manual e automatizado (DAST);
- Pentest, funcional, desempenho, fuzz em pre-produção.
Gerar relatórios de vulnerabilidades e recomendações;
Avaliação de resultados e métricas;
- Times de teste, desenvolvimento e analistas.
Atividades no S-SDL: Teste
Deploy seguro;
Teste black box pós produção;
Monitoramento de incidentes;
Revisão de configurações de servidores e rede;
Atividades no S-SDL: Produção
Lições aprendidas;
Monitoramento das vulnerabilidades: leve o software ao medico a
cada release;
Revisões: processo, projeto ou problema.
Atividades no S-SDL: Manutenção
Atividades do S-SDL
Integrar objetivos
de segurança
com requisitos
Avaliação
de Riscos
Integrar
atividades,
responsáveis,
padrões e
modelos
Modelagem
de ameaças
Alinhar com
objetivos e
requisitos de
segurança;
Codificação
segura, SAST, Spikes.
DAST, Fuzz
Teste Black Box.
Avaliar resultados.
Deploy seguro,
Teste black box
post production
Monitoramento de
incidentes, Revisão
da Infra.
Manutenção
Monitoramento, aprendizado, Revisões, Análises
Avaliação de Maturidade do S-SDL
23
POSSO COLABORAR COM
MAIS RESPOSTAS?
kleitor.franklint@gmail.com
br.linkedin.com/in/kfranklint
92-99416-0873

Mais conteúdo relacionado

Mais procurados

Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)Aymeric Lagier
 
IBM AppScan - the total software security solution
IBM AppScan - the total software security solutionIBM AppScan - the total software security solution
IBM AppScan - the total software security solutionhearme limited company
 
F5's IP Intelligence Service
F5's IP Intelligence ServiceF5's IP Intelligence Service
F5's IP Intelligence ServiceF5 Networks
 
Application Security Architecture and Threat Modelling
Application Security Architecture and Threat ModellingApplication Security Architecture and Threat Modelling
Application Security Architecture and Threat ModellingPriyanka Aash
 
Introdução ao Teste de Software - Uma abordagem prática
Introdução ao Teste de Software - Uma abordagem práticaIntrodução ao Teste de Software - Uma abordagem prática
Introdução ao Teste de Software - Uma abordagem práticaFabrício Campos
 
Intro to Security in SDLC
Intro to Security in SDLCIntro to Security in SDLC
Intro to Security in SDLCTjylen Veselyj
 
Palestra: Fundamentos do Desenvolvimento Seguro de Softwares
Palestra: Fundamentos do Desenvolvimento Seguro de SoftwaresPalestra: Fundamentos do Desenvolvimento Seguro de Softwares
Palestra: Fundamentos do Desenvolvimento Seguro de SoftwaresAndre Henrique
 
Secure Software Development Life Cycle
Secure Software Development Life CycleSecure Software Development Life Cycle
Secure Software Development Life CycleMaurice Dawson
 
SAST vs. DAST: What’s the Best Method For Application Security Testing?
SAST vs. DAST: What’s the Best Method For Application Security Testing?SAST vs. DAST: What’s the Best Method For Application Security Testing?
SAST vs. DAST: What’s the Best Method For Application Security Testing?Cigital
 
Shift Left Security
Shift Left SecurityShift Left Security
Shift Left SecurityBATbern
 
Validação e Testes de software
Validação e Testes de softwareValidação e Testes de software
Validação e Testes de softwareRondinelli Mesquita
 
Source Code Analysis with SAST
Source Code Analysis with SASTSource Code Analysis with SAST
Source Code Analysis with SASTBlueinfy Solutions
 
DevSecOps: Colocando segurança na esteira
DevSecOps: Colocando segurança na esteiraDevSecOps: Colocando segurança na esteira
DevSecOps: Colocando segurança na esteiraDiego Gabriel Cardoso
 
ATT&CKing the Sentinel – deploying a threat hunting capability on Azure Senti...
ATT&CKing the Sentinel – deploying a threat hunting capability on Azure Senti...ATT&CKing the Sentinel – deploying a threat hunting capability on Azure Senti...
ATT&CKing the Sentinel – deploying a threat hunting capability on Azure Senti...CloudVillage
 

Mais procurados (20)

Secure Code Review 101
Secure Code Review 101Secure Code Review 101
Secure Code Review 101
 
Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)
 
IBM AppScan - the total software security solution
IBM AppScan - the total software security solutionIBM AppScan - the total software security solution
IBM AppScan - the total software security solution
 
teste de invasão
teste de invasãoteste de invasão
teste de invasão
 
Bsides SP 2022 - EPSS - Final.pptx
Bsides SP 2022 - EPSS - Final.pptxBsides SP 2022 - EPSS - Final.pptx
Bsides SP 2022 - EPSS - Final.pptx
 
F5's IP Intelligence Service
F5's IP Intelligence ServiceF5's IP Intelligence Service
F5's IP Intelligence Service
 
Développement sécurisé
Développement sécuriséDéveloppement sécurisé
Développement sécurisé
 
Application Security Architecture and Threat Modelling
Application Security Architecture and Threat ModellingApplication Security Architecture and Threat Modelling
Application Security Architecture and Threat Modelling
 
Introdução ao Teste de Software - Uma abordagem prática
Introdução ao Teste de Software - Uma abordagem práticaIntrodução ao Teste de Software - Uma abordagem prática
Introdução ao Teste de Software - Uma abordagem prática
 
Intro to Security in SDLC
Intro to Security in SDLCIntro to Security in SDLC
Intro to Security in SDLC
 
Application Security
Application SecurityApplication Security
Application Security
 
Palestra: Fundamentos do Desenvolvimento Seguro de Softwares
Palestra: Fundamentos do Desenvolvimento Seguro de SoftwaresPalestra: Fundamentos do Desenvolvimento Seguro de Softwares
Palestra: Fundamentos do Desenvolvimento Seguro de Softwares
 
Secure Software Development Life Cycle
Secure Software Development Life CycleSecure Software Development Life Cycle
Secure Software Development Life Cycle
 
SAST vs. DAST: What’s the Best Method For Application Security Testing?
SAST vs. DAST: What’s the Best Method For Application Security Testing?SAST vs. DAST: What’s the Best Method For Application Security Testing?
SAST vs. DAST: What’s the Best Method For Application Security Testing?
 
Shift Left Security
Shift Left SecurityShift Left Security
Shift Left Security
 
Validação e Testes de software
Validação e Testes de softwareValidação e Testes de software
Validação e Testes de software
 
The State of DevSecOps
The State of DevSecOpsThe State of DevSecOps
The State of DevSecOps
 
Source Code Analysis with SAST
Source Code Analysis with SASTSource Code Analysis with SAST
Source Code Analysis with SAST
 
DevSecOps: Colocando segurança na esteira
DevSecOps: Colocando segurança na esteiraDevSecOps: Colocando segurança na esteira
DevSecOps: Colocando segurança na esteira
 
ATT&CKing the Sentinel – deploying a threat hunting capability on Azure Senti...
ATT&CKing the Sentinel – deploying a threat hunting capability on Azure Senti...ATT&CKing the Sentinel – deploying a threat hunting capability on Azure Senti...
ATT&CKing the Sentinel – deploying a threat hunting capability on Azure Senti...
 

Destaque

Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner EliasTratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner EliasMagno Logan
 
O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408Conviso Application Security
 
OWASP_BSB_20120827_TOP10_ISMAELROCHA
OWASP_BSB_20120827_TOP10_ISMAELROCHAOWASP_BSB_20120827_TOP10_ISMAELROCHA
OWASP_BSB_20120827_TOP10_ISMAELROCHAOWASP Brasília
 
Segurança de software na Administração Pública Federal
Segurança de software na Administração Pública FederalSegurança de software na Administração Pública Federal
Segurança de software na Administração Pública FederalOWASP Brasília
 
TDD - Test Driven Development
TDD - Test Driven DevelopmentTDD - Test Driven Development
TDD - Test Driven DevelopmentSaulo Martins
 
Treinamento em levantamento de requisitos de segurança
Treinamento em levantamento de requisitos de segurançaTreinamento em levantamento de requisitos de segurança
Treinamento em levantamento de requisitos de segurançaLeivan Carvalho
 
Ciclo de vida de software
Ciclo de vida de softwareCiclo de vida de software
Ciclo de vida de softwarediha36
 
Ciclo de vida de software
Ciclo de vida de software Ciclo de vida de software
Ciclo de vida de software caricati
 
Implementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISOImplementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISOConviso Application Security
 
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)Erick Belluci Tedeschi
 
Modelos de ciclo de vida de software
Modelos de ciclo de vida de softwareModelos de ciclo de vida de software
Modelos de ciclo de vida de softwareYuri Garcia
 

Destaque (16)

Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner EliasTratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
 
Ciclo de Vida
Ciclo de VidaCiclo de Vida
Ciclo de Vida
 
Segurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwaresSegurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwares
 
O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408
 
Ameaças e Vulnerabilidade em Apps Web-2013
Ameaças e Vulnerabilidade em Apps Web-2013Ameaças e Vulnerabilidade em Apps Web-2013
Ameaças e Vulnerabilidade em Apps Web-2013
 
OWASP_BSB_20120827_TOP10_ISMAELROCHA
OWASP_BSB_20120827_TOP10_ISMAELROCHAOWASP_BSB_20120827_TOP10_ISMAELROCHA
OWASP_BSB_20120827_TOP10_ISMAELROCHA
 
Elicitação e Análise
Elicitação e AnáliseElicitação e Análise
Elicitação e Análise
 
Segurança de software na Administração Pública Federal
Segurança de software na Administração Pública FederalSegurança de software na Administração Pública Federal
Segurança de software na Administração Pública Federal
 
TDD - Test Driven Development
TDD - Test Driven DevelopmentTDD - Test Driven Development
TDD - Test Driven Development
 
Treinamento em levantamento de requisitos de segurança
Treinamento em levantamento de requisitos de segurançaTreinamento em levantamento de requisitos de segurança
Treinamento em levantamento de requisitos de segurança
 
Ciclo de vida de software
Ciclo de vida de softwareCiclo de vida de software
Ciclo de vida de software
 
Ciclo de vida de software
Ciclo de vida de software Ciclo de vida de software
Ciclo de vida de software
 
Resumo de Técnicas de elicitação de requisitos
Resumo de Técnicas de elicitação de requisitosResumo de Técnicas de elicitação de requisitos
Resumo de Técnicas de elicitação de requisitos
 
Implementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISOImplementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISO
 
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
 
Modelos de ciclo de vida de software
Modelos de ciclo de vida de softwareModelos de ciclo de vida de software
Modelos de ciclo de vida de software
 

Semelhante a Entendendo o Ciclo de Desenvolvimento Seguro

(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades WebEduardo Lanna
 
Desenvolvimento de software – novas abordagens e desafios - Marlon Gaspar
Desenvolvimento de software – novas abordagens e desafios - Marlon GasparDesenvolvimento de software – novas abordagens e desafios - Marlon Gaspar
Desenvolvimento de software – novas abordagens e desafios - Marlon GasparRio Info
 
Lista de desejos de um Chief Security Officer
Lista de desejos de um Chief Security OfficerLista de desejos de um Chief Security Officer
Lista de desejos de um Chief Security OfficerAmazon Web Services LATAM
 
(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSegura(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSeguraEduardo Lanna
 
Cyber Segurança - CyberSecurity
Cyber Segurança - CyberSecurityCyber Segurança - CyberSecurity
Cyber Segurança - CyberSecurityPeterson Alves
 
WBMA2013 - Método Ágil para desenvolvimento de software confiável
WBMA2013 - Método Ágil para desenvolvimento de software confiávelWBMA2013 - Método Ágil para desenvolvimento de software confiável
WBMA2013 - Método Ágil para desenvolvimento de software confiávelAlan Braz
 
DevSecOps - Segurança em um pipeline contínuo
DevSecOps - Segurança em um pipeline contínuoDevSecOps - Segurança em um pipeline contínuo
DevSecOps - Segurança em um pipeline contínuoEndrigo Antonini
 
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
Owasp Chapter Cuiabá
Owasp Chapter Cuiabá Owasp Chapter Cuiabá
Owasp Chapter Cuiabá OWASP_cuiaba
 
Relatório de Segurança Anual de 2015
Relatório de Segurança Anual de 2015Relatório de Segurança Anual de 2015
Relatório de Segurança Anual de 2015Cisco do Brasil
 
[CLASS 2014] Palestra Técnica - Cesar Oliveira
[CLASS 2014] Palestra Técnica - Cesar Oliveira[CLASS 2014] Palestra Técnica - Cesar Oliveira
[CLASS 2014] Palestra Técnica - Cesar OliveiraTI Safe
 
Como se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareComo se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareAlcyon Ferreira de Souza Junior, MSc
 

Semelhante a Entendendo o Ciclo de Desenvolvimento Seguro (20)

PCI DSS e Metodologias Ágeis
PCI DSS e Metodologias ÁgeisPCI DSS e Metodologias Ágeis
PCI DSS e Metodologias Ágeis
 
Dss 3
Dss 3Dss 3
Dss 3
 
Defesa Becker
Defesa BeckerDefesa Becker
Defesa Becker
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web
 
Desenvolvimento de software – novas abordagens e desafios - Marlon Gaspar
Desenvolvimento de software – novas abordagens e desafios - Marlon GasparDesenvolvimento de software – novas abordagens e desafios - Marlon Gaspar
Desenvolvimento de software – novas abordagens e desafios - Marlon Gaspar
 
Lista de desejos de um Chief Security Officer
Lista de desejos de um Chief Security OfficerLista de desejos de um Chief Security Officer
Lista de desejos de um Chief Security Officer
 
(4) Comparando o NStalker WAS com o RedeSegura
(4) Comparando o NStalker WAS com o RedeSegura(4) Comparando o NStalker WAS com o RedeSegura
(4) Comparando o NStalker WAS com o RedeSegura
 
(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSegura(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSegura
 
Cyber Segurança - CyberSecurity
Cyber Segurança - CyberSecurityCyber Segurança - CyberSecurity
Cyber Segurança - CyberSecurity
 
WBMA2013 - Método Ágil para desenvolvimento de software confiável
WBMA2013 - Método Ágil para desenvolvimento de software confiávelWBMA2013 - Método Ágil para desenvolvimento de software confiável
WBMA2013 - Método Ágil para desenvolvimento de software confiável
 
DevSecOps - Segurança em um pipeline contínuo
DevSecOps - Segurança em um pipeline contínuoDevSecOps - Segurança em um pipeline contínuo
DevSecOps - Segurança em um pipeline contínuo
 
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
 
Owasp Chapter Cuiabá
Owasp Chapter Cuiabá Owasp Chapter Cuiabá
Owasp Chapter Cuiabá
 
Java security
Java securityJava security
Java security
 
Relatório de Segurança Anual de 2015
Relatório de Segurança Anual de 2015Relatório de Segurança Anual de 2015
Relatório de Segurança Anual de 2015
 
[CLASS 2014] Palestra Técnica - Cesar Oliveira
[CLASS 2014] Palestra Técnica - Cesar Oliveira[CLASS 2014] Palestra Técnica - Cesar Oliveira
[CLASS 2014] Palestra Técnica - Cesar Oliveira
 
Como se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareComo se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de Software
 
MTI-MT Desenvolvimento Seguro
MTI-MT Desenvolvimento SeguroMTI-MT Desenvolvimento Seguro
MTI-MT Desenvolvimento Seguro
 
Analise de Requisitos Software
Analise de Requisitos SoftwareAnalise de Requisitos Software
Analise de Requisitos Software
 

Mais de Kleitor Franklint Correa Araujo

Automação de testes - uma introdução sobre estratégias
Automação de testes - uma introdução sobre estratégiasAutomação de testes - uma introdução sobre estratégias
Automação de testes - uma introdução sobre estratégiasKleitor Franklint Correa Araujo
 
Gestão de projeto PMBOK 5 com um Toque Agil - praticas de fundamentos
Gestão de projeto PMBOK 5 com um Toque Agil -  praticas de fundamentosGestão de projeto PMBOK 5 com um Toque Agil -  praticas de fundamentos
Gestão de projeto PMBOK 5 com um Toque Agil - praticas de fundamentosKleitor Franklint Correa Araujo
 

Mais de Kleitor Franklint Correa Araujo (20)

Metricas (e previsões) acionáveis de projeto
Metricas (e previsões) acionáveis de projetoMetricas (e previsões) acionáveis de projeto
Metricas (e previsões) acionáveis de projeto
 
Modelagem com historias bem além dos requisitos
Modelagem com historias bem além dos requisitosModelagem com historias bem além dos requisitos
Modelagem com historias bem além dos requisitos
 
Engenharia de software Lean Kanban
Engenharia de software  Lean KanbanEngenharia de software  Lean Kanban
Engenharia de software Lean Kanban
 
Fundamentos Gestão de Escopo e Qualidade
Fundamentos Gestão de Escopo e QualidadeFundamentos Gestão de Escopo e Qualidade
Fundamentos Gestão de Escopo e Qualidade
 
MBA em projetos - Gestao Ágil
MBA em projetos - Gestao ÁgilMBA em projetos - Gestao Ágil
MBA em projetos - Gestao Ágil
 
Automação de testes - uma introdução sobre estratégias
Automação de testes - uma introdução sobre estratégiasAutomação de testes - uma introdução sobre estratégias
Automação de testes - uma introdução sobre estratégias
 
Papeis Ágeis - uma proposta operacional Scrum
Papeis Ágeis - uma proposta operacional ScrumPapeis Ágeis - uma proposta operacional Scrum
Papeis Ágeis - uma proposta operacional Scrum
 
Teste de software gestao e kaizen
Teste de software gestao e kaizenTeste de software gestao e kaizen
Teste de software gestao e kaizen
 
Introdução ao design de teste de software
Introdução ao design de teste de softwareIntrodução ao design de teste de software
Introdução ao design de teste de software
 
Gestao de Projeto com gráfico burndown
Gestao de Projeto com gráfico burndownGestao de Projeto com gráfico burndown
Gestao de Projeto com gráfico burndown
 
Teste de segurança do lado servidor - Nível 1
Teste de segurança do lado servidor - Nível 1Teste de segurança do lado servidor - Nível 1
Teste de segurança do lado servidor - Nível 1
 
Introdução de teste de segurança app web
Introdução de teste de segurança app webIntrodução de teste de segurança app web
Introdução de teste de segurança app web
 
Gestão Agil de tudo - Retrospectivas
Gestão Agil de tudo - RetrospectivasGestão Agil de tudo - Retrospectivas
Gestão Agil de tudo - Retrospectivas
 
Gestao Ágil do Backlog - Taskboards
Gestao Ágil do Backlog - TaskboardsGestao Ágil do Backlog - Taskboards
Gestao Ágil do Backlog - Taskboards
 
Gestão Ágil de tudo: Planejamento backlog
Gestão Ágil de tudo: Planejamento backlogGestão Ágil de tudo: Planejamento backlog
Gestão Ágil de tudo: Planejamento backlog
 
Gestao Ágil de Projeto - Reunião Diária
Gestao Ágil de Projeto - Reunião DiáriaGestao Ágil de Projeto - Reunião Diária
Gestao Ágil de Projeto - Reunião Diária
 
Agil - coisas essenciais de sempre
Agil - coisas essenciais de sempreAgil - coisas essenciais de sempre
Agil - coisas essenciais de sempre
 
Gestão de projeto PMBOK 5 com um Toque Agil - praticas de fundamentos
Gestão de projeto PMBOK 5 com um Toque Agil -  praticas de fundamentosGestão de projeto PMBOK 5 com um Toque Agil -  praticas de fundamentos
Gestão de projeto PMBOK 5 com um Toque Agil - praticas de fundamentos
 
Gestão de projeto- conceitos essenciais
Gestão de projeto- conceitos essenciaisGestão de projeto- conceitos essenciais
Gestão de projeto- conceitos essenciais
 
Test First, TDD e outros Bichos
Test First, TDD e outros BichosTest First, TDD e outros Bichos
Test First, TDD e outros Bichos
 

Entendendo o Ciclo de Desenvolvimento Seguro

  • 1. ENTENDENDO O SDLC Security Development Lifecycle Kleitor Franklint kleitor@prodam.am.gov.br Líder OWASP capítulo Manaus Fábrica de Teste PRODAM
  • 2. KLEITOR Entusiasta da Vida, Qualidade, Colaborativos, Ágil, Teste e Testes Ágeis. kleitor.franklint@gmail.com br.linkedin.com/in/kfranklint 92-99416-0873
  • 3. SDL ou SDLC: Ciclo de vida de desenvolvimento de software ou sistemas. Ou ainda: Ciclo de vida de desenvolvimento seguro. Para não confundir: S-SDL ENTENDENDO O SDLC
  • 4. Outras propostas ao título: Construindo segurança no seu SDL; SDL, adotando uma proposta peso leve; Construindo aplicações seguras com práticas ágeis; Ou ainda... DESENVOLVIMENTO SEGURO É MAIS SIMPLES QUE VOCÊ PENSA! ENTENDENDO O SDLC
  • 5. S- SDL: UM ROADMAP
  • 6. S-SDL?S-SDL?  É um programa de práticas no qual segurança é só mais um atributo de software como usabilidade, desempenho, escalabilidade, etc;  Insiste na incorporação de segurança ao Ciclo de Vida de Desenvolvimento de Software;  Hackers podem quebrar redes e aplicações de várias formas, por isso existe a proposta de S-SDL;  O objetivo cresce sistematicamente. Cada fase do SDLC vai insistir em segurança para além do atual conjunto de atividades.  Existe porque vulnerabilidades são identificadas muito tardiamente ou quando violações de segurança ocorrem.
  • 8. Uma proposta de S-SDLUma proposta de S-SDL  Abordagem sistemática flexível que agregue mais valor ao conhecimento;  Orientada a práticas ágeis;  Integração fácil com atividades correlatas;  Atividades divididas em processos discretos e simples;  Que seja fácil de adotar com sua maneira de trabalhar;  Que resulte em melhorias incrementais à segurança que sejam facilmente realizáveis, repetíveis e mensuráveis.​​ ​​
  • 9. Não importa sua metodologia de projetoNão importa sua metodologia de projeto S-SDL ágil, prático e adaptávelS-SDL ágil, prático e adaptável
  • 10. Beneficios do SDLBeneficios do SDL  Erradicar defeitos o mais cedo possível para ser economicamente viável;  Colabora com integração com compliance;  Solução para problemas que não foram ainda claramente definidos;  Consciência de engenharia potencial causado por problemas de segurança;  Identificação dos serviços de segurança compartilhada e reutilização de estratégias e ferramentas de segurança;  Melhoria na tomada de decisão através de um processo de gestão de risco global em tempo hábil;
  • 11. ÁGIL = Valorável, Leve, Possível e Prático. Integrar objetivos de segurança com requisitos Avaliação de Riscos Integrar atividades, responsáveis, padrões e modelos Modelagem de ameaças Alinhar com objetivos e requisitos de segurança; Codificação segura, SAST, Spikes. DAST, Fuzz Teste Black Box. Avaliar resultados. Deploy seguro, Teste black box post production Monitoramento de incidentes, Revisão da Infra. Manutenção Monitoramento, aprendizado, Revisões, Análises Atividades do S-SDL Treinamento
  • 12. Estratégias de adoção de S-SDLEstratégias de adoção de S-SDL
  • 13. RACIONALIZAÇÃO DO ESFORÇO Classifique suas Aplicações Classifique suas Atividades “One time”, “Every Sprint”, “Bucket requirements” ( não precisam estar completos , menos importantes, e com menos regularidade).
  • 14. Atividades no S-SDL: Planejamento e Requisitos  Definir objetivos de segurança no plano de requisitos;  Modelar riscos;  Definir e monitorar métricas;  Aplicar requisito a cada fase;  Revisar. Não se pode testar a segurança mais que se pode testar a qualidade.
  • 15. Atividades no S-SDL: Planejamento e Requisitos Definir objetivos de segurança no plano de requisitos. Requisitos podem ser adicionados como tarefas dentro de um release; Todos os requisitos “every sprint” devem estar completos e exceções a eles garantidas; Pelo menos um requisito da categoria Bucket deve estar pronto, ou um exceção concedida a ele; Nenhum requisito “One time” excedeu período de carência. Modelar riscos. Defina o escopo: orientada a Empresa, a projeto ou a problema. Uma lista simples com plano de mitigação integrada ao plano de requisitos é um bom começo. Definir e monitorar métricas. Desenvolver estratégias para gerar métricas; Definir métricas alcançaveis e aplicáveis; Como as métricas serão relatadas: relatório de teste, bugtrack, daily scrum, dashboard, etc Contabilize as vulnerabilidades "pre-SDL" e “pós-SDL por período;
  • 16. Modelagem de ameaças ( crítico every sprint, apenas os novos ); Desenho de casos de uso de vulnerabilidade; Desenho da arquitetura segura; Desenho do deploy: Definir padrões de codificação segura; Desenho do deploy; Definir padrões de codificação segura; Definir atividades e responsáveis; Revisar: checklist Atividades no S-SDL: Design e arquitetura
  • 17. Modelagem de ameaças ( crítico every sprint, apenas os novos ): - Pode ser textual, owasp top 10, diagrama de fluxo; - Um mínimo, mas útil, pode ser feito analisando pontos de entrada de alto risco e dados no sistema. Desenho de casos de uso de vulnerabilidade: - Quais os serviços de segurança podem ser tornar vulneráveis em aplicações; Desenho da arquitetura segura: - Configuração essencial servidor web ou app, patches; Desenho do deploy: - Criptografia, conf. mudanças; Definir padrões de codificação segura: - Uso de APIs, OWAP guides, etc; Atividades no S-SDL: Design e arquitetura
  • 18.  Utilizar melhores práticas de codificação segura; - CERT Secure Coding Initiative28, O WASP CLASP, Microsoft SDL. - Não defina modelos semideuses, pense em viável e produtivo.  Executar análise estática de código(SAST); Cumprir: alinhar Design, arquitetura e requisitos de segurança; - Meu ambiente está pronto? Use um spike como experimento de codificação e teste; Revisão: periódica ou pró sprint Atividades no S-SDL: Desenvolvimento
  • 19. Black box manual e automatizado (DAST); - Pentest, funcional, desempenho, fuzz em pre-produção. Gerar relatórios de vulnerabilidades e recomendações; Avaliação de resultados e métricas; - Times de teste, desenvolvimento e analistas. Atividades no S-SDL: Teste
  • 20. Deploy seguro; Teste black box pós produção; Monitoramento de incidentes; Revisão de configurações de servidores e rede; Atividades no S-SDL: Produção
  • 21. Lições aprendidas; Monitoramento das vulnerabilidades: leve o software ao medico a cada release; Revisões: processo, projeto ou problema. Atividades no S-SDL: Manutenção
  • 22. Atividades do S-SDL Integrar objetivos de segurança com requisitos Avaliação de Riscos Integrar atividades, responsáveis, padrões e modelos Modelagem de ameaças Alinhar com objetivos e requisitos de segurança; Codificação segura, SAST, Spikes. DAST, Fuzz Teste Black Box. Avaliar resultados. Deploy seguro, Teste black box post production Monitoramento de incidentes, Revisão da Infra. Manutenção Monitoramento, aprendizado, Revisões, Análises Avaliação de Maturidade do S-SDL
  • 23. 23 POSSO COLABORAR COM MAIS RESPOSTAS? kleitor.franklint@gmail.com br.linkedin.com/in/kfranklint 92-99416-0873