Desenvolvimento Ágil e Segurança
Namoro ou Inimizade?
Agile Trends Br - São Paulo, 25 de Abril 2014 - Wagner Elias
Thursda...
Ágil?
Thursday, May 8, 2014
Apenas identificar falhas não é suficiente
Para quem apenas ouviu falar
O que é ser ágil
Thursday, May 8, 2014
Apenas identificar falhas não é suficiente
Para fanboys
O que é ser ágil
Coloque sua
marca aqui
Thursday, May 8, 2014
Apenas identificar falhas não é suficiente
O que é ágil para um agilista
O que é ser ágil
Thursday, May 8, 2014
Eu preciso de segurança?
Thursday, May 8, 2014
Apenas identificar falhas não é suficiente
Porque agilistas acham que não precisam de segurança
Mitos
Nós somos rockstar
Con...
Automação Resolve?
Thursday, May 8, 2014
Apenas identificar falhas não é suficiente
Exemplo de Cross Site Scripting que o Code Climate não pega
Alguns problemas com ...
Apenas identificar falhas não é suficiente
Exemplo de Redirect inseguro que o Code Climate não pega
Alguns problemas com aut...
Aplicando segurança em
práticas ágeis
Thursday, May 8, 2014
Apenas identificar falhas não é suficiente
Insira atividades de segurança nos sprints
Aplicando Segurança em Agile
Modelagem...
Atuação em todo Brasil e exterior
Rua Marechal Hermes 678 CJ 32
CEP 80530-230, Curitiba, PR
T (41) 3095-3986
Wagner Elias
...
Upcoming SlideShare
Loading in...5
×

Desenvolvimento Ágil e Segurança Namoro ou Inimizade?

88

Published on

Uma visão sobre a implementação de segurança em processos de desenvolvimentos ágeis.

Published in: Software
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
88
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
4
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Desenvolvimento Ágil e Segurança Namoro ou Inimizade?

  1. 1. Desenvolvimento Ágil e Segurança Namoro ou Inimizade? Agile Trends Br - São Paulo, 25 de Abril 2014 - Wagner Elias Thursday, May 8, 2014
  2. 2. Ágil? Thursday, May 8, 2014
  3. 3. Apenas identificar falhas não é suficiente Para quem apenas ouviu falar O que é ser ágil Thursday, May 8, 2014
  4. 4. Apenas identificar falhas não é suficiente Para fanboys O que é ser ágil Coloque sua marca aqui Thursday, May 8, 2014
  5. 5. Apenas identificar falhas não é suficiente O que é ágil para um agilista O que é ser ágil Thursday, May 8, 2014
  6. 6. Eu preciso de segurança? Thursday, May 8, 2014
  7. 7. Apenas identificar falhas não é suficiente Porque agilistas acham que não precisam de segurança Mitos Nós somos rockstar Conheço todos os ensinamentos de Martin Fowler e programo seguindo todas as práticas modernas Nós testamos Escrevo teste para tudo que desenvolvo, logo meu código não tem problema algum Automação é poder Eu tenho integração contínua e automatizo todos os testes inclusive os de segurança Thursday, May 8, 2014
  8. 8. Automação Resolve? Thursday, May 8, 2014
  9. 9. Apenas identificar falhas não é suficiente Exemplo de Cross Site Scripting que o Code Climate não pega Alguns problemas com automação Exploração http://localhost:3000/xss/vuln?jsonify=true&var=%3Cscript%3Ealert%281%29%3C/script%3E Controller View Thursday, May 8, 2014
  10. 10. Apenas identificar falhas não é suficiente Exemplo de Redirect inseguro que o Code Climate não pega Alguns problemas com automação Exploração http://localhost:3000/unsafe_redirect/index?url=http://www.google.com Thursday, May 8, 2014
  11. 11. Aplicando segurança em práticas ágeis Thursday, May 8, 2014
  12. 12. Apenas identificar falhas não é suficiente Insira atividades de segurança nos sprints Aplicando Segurança em Agile Modelagem de Ameaças Realize uma análise de risco do produto de software que será desenvolvido mapeando os cenários de abuso e riscos associados Revisão de Código Utilize as ferramentas de automação mas realize revisões de segurança de código feita por especialistas durante e/ou intercalando com os sprints Teste de Invasão Realize testes de invasão buscando subverter o produto de software entregue e rodando em ambiente semelhante ao de produção Treinamento Desenvolvedores precisam ser treinados para entender os riscos de segurança associados ao desenvolvimento de software Thursday, May 8, 2014
  13. 13. Atuação em todo Brasil e exterior Rua Marechal Hermes 678 CJ 32 CEP 80530-230, Curitiba, PR T (41) 3095-3986 Wagner Elias welias@conviso.com.br Obrigado Siga no Twitter https://twitter.com/conviso Curta a Fanpage no Facebook https://facebook.com/convisoappsec Conheça o nosso blog http://blog.conviso.com.br Thursday, May 8, 2014
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×