Desenvolvemos produtos digitais

SecCISecurity in Continuous Integration

Continuous Integration

Bugs são percebidos e eliminados mais rapidamente

Continuous Integration

A produtividade do time aumenta (sem super-heróis)

Continuous Integration

Há total transparência no processo, que é automatizado

Continuous ValidationNesta etapa garantimos que o

código faz exatamente o que foi especificado para fazer, e funciona.

Testes automatizados percorrem as opções do aplicativo, quebrando o

job em caso de problemas.Parece mágica!

Continuous ValidationNesta etapa garantimos que o

código faz exatamente o que foi especificado para fazer, e funciona.

Testes automatizados percorrem as opções do aplicativo, quebrando o

job em caso de problemas.Parece mágica!

Continuous Delivery / Deployment

Jenkins

There is nothing you cannot do. Seriously.

=

Demo● Subir um servidor de CI que

construa o código de uma aplicação em um repositório e coloque o app para funcionar, verificando se ela está mesmo no ar.

● Navegar manualmente pela aplicação, mostrando seu comportamento.

*Obs: repositório com os fontes no final da apresentação

Segurança

“Quanto eu quero realmente hackear esta aplicação? Se eu quiser muito, eu

certamente vou entrar, não importa o método. O único requisito é ter maldade

suficiente no coração.”

-- AX (um hacker do coração peludo)

Bahhhh! Sensacionalismo.Coisa de filme.

Isso non ecziste!

Imagine...

Se sua aplicação pudesse nascer segura? (ou pelo menos com um alto grau de segurança)

Se os problemas de segurança fossem corrigidos a cada build?

Se você tivesse relatórios das falhas e da qualidade de segurança do seu código para mostrar aos clientes?

“Ah, mas para isso eu precisaria ter testes de segurança a cada build, igual

eu faço no CI...”

ISSO! Eureka! Security in Continuous Integration!

Demo

*Obs: repositório com os fontes no final da apresentação

● Jobs no Jenkins utilizando ferramentas para mitigar riscos em SI

● Relatórios com estatísticas de SI, mostrando falhas e pontos de atenção

FerramentasAmbiente:● Linux● Ruby● Sinatra● VirtualBox● Docker● Jenkins

Segurança:● OpenVAS● NMAP● Nikto● THC-Hydra● John● Metasploit● ...

Dúvidas? Críticas? Sugestões?

Obrigado!Contato: wesley.silva@concretesolutions.com.br

Mais informações:http://blog.concretesolutions.com.br

Mais algumas ferramentas:http://sectools.org/

Código:https://github.com/wesleyit/talks/cs-secci

concretesolutions

Rio de JaneiroRua São José, 90 Sala: 2121Centro, Rio de JaneiroCEP: 20010-020Tel.: +55 21 2240-2030

São PauloRua Sansão Alves dos Santos, 433

4º andar - Brooklin, São PauloCEP: 04565-001

Tel.: +55 11 4119-0449

blog.concretesolutions.com.brwww.concretesolutions.com.br