Post on 17-Jul-2015
Desenvolvimento Ágil e Segurança Namoro ou Inimizade?Agile Trends Br - São Paulo, 25 de Abril 2014 - Wagner Elias
Thursday, May 8, 2014
Apenas identificar falhas não é suficiente
Para quem apenas ouviu falar
O que é ser ágil
Thursday, May 8, 2014
Apenas identificar falhas não é suficiente
Para fanboys
O que é ser ágil
Coloque suamarca aqui
Thursday, May 8, 2014
Apenas identificar falhas não é suficiente
O que é ágil para um agilista
O que é ser ágil
Thursday, May 8, 2014
Apenas identificar falhas não é suficiente
Porque agilistas acham que não precisam de segurança
Mitos
Nós somos rockstar
Conheço todos os ensinamentos de Martin Fowler e programo seguindo todas as práticas modernas
Nós testamos
Escrevo teste para tudo que desenvolvo, logo meu código não tem problema algum
Automação é poder
Eu tenho integração contínua e automatizo todos os testes inclusive os de segurança
Thursday, May 8, 2014
Apenas identificar falhas não é suficiente
Exemplo de Cross Site Scripting que o Code Climate não pega
Alguns problemas com automação
Exploraçãohttp://localhost:3000/xss/vuln?jsonify=true&var=%3Cscript%3Ealert%281%29%3C/script%3E
Controller View
Thursday, May 8, 2014
Apenas identificar falhas não é suficiente
Exemplo de Redirect inseguro que o Code Climate não pega
Alguns problemas com automação
Exploraçãohttp://localhost:3000/unsafe_redirect/index?url=http://www.google.com
Thursday, May 8, 2014
Apenas identificar falhas não é suficiente
Insira atividades de segurança nos sprints
Aplicando Segurança em Agile
Modelagem de AmeaçasRealize uma análise de risco do produto de software que será desenvolvido mapeando os cenários de abuso e riscos associados
Revisão de CódigoUtilize as ferramentas de automação mas realize revisões de segurança de código feita por especialistas durante e/ou intercalando com os sprints
Teste de InvasãoRealize testes de invasão buscando subverter o produto de software entregue e rodando em ambiente semelhante ao de produção
TreinamentoDesenvolvedores precisam ser treinados para entender os riscos de segurança associados ao desenvolvimento de software
Thursday, May 8, 2014
Atuação em todo Brasil e exterior
Rua Marechal Hermes 678 CJ 32CEP 80530-230, Curitiba, PRT (41) 3095-3986
Wagner Eliaswelias@conviso.com.br
Obrigado
Siga no Twitterhttps://twitter.com/conviso
Curta a Fanpage no Facebookhttps://facebook.com/convisoappsec
Conheça o nosso bloghttp://blog.conviso.com.br
Thursday, May 8, 2014