Você Escreve Código e Quem Valida?

808 views

Published on

Palestra ministrada no OWASP Floripa Day - Florianópolis - SC |
Programadores desenvolvem código como se não houvesse amanhã e pouco se investe na validação de segurança de código. A palestra aborda práticas de revisão de segurança de código e como deve ser adotado a prática em um processo de desenvolvimento de software.

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
808
On SlideShare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
34
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Você Escreve Código e Quem Valida?

  1. 1. Você Escreve Código e Quem Valida?Wagner Elias, CTOConviso Application SecurityCopyright © The OWASP FoundationPermission is granted to copy, distribute and/or modify this documentunder the terms of the OWASP License.The OWASP Foundationhttp://www.owasp.org
  2. 2. Por que revisar código? Muito código desenvolvido sem um método apropriado Desconhecimento de características de segurança Necessidade de conformidade com padrões http://bozosecurity.blogspot.com.br/ OWASP
  3. 3. Alguns números Estudo do NIST diz que 92% das vulnerabilidades estão em software O Gartner diz que falhas em software são a causa de 75% dos incidentes de segurança OWASP
  4. 4. OWASP 4
  5. 5. Os Dois!Code Review deve ser realizado durante odesenvolvimento, pentest depois  Requirements definition   Application Security Requirements  Architecture and Design   Application Security Architecture and/or Threat Model  Development   Secure Coding Practices   Security Testing   Security Code Review  Test   Penetration Testing  Deployment   Secure Configuration Management   Secure Deployment  Maintenance OWASP
  6. 6. OWASP 6
  7. 7. OWASP 7
  8. 8. OWASP 8
  9. 9. Processo OWASP
  10. 10. Estabeleça Objetivos Qual o objetivo da aplicação? E-Commerce; Dados de Cartão… A aplicação necessita de conformidade com padrões de segurança como os de cartão de crédito (PCI)? OWASP
  11. 11. Use ferramentas de suporte a análise Possibilita triar alguns “findings” em um número grande de linhas de código rapidamente (escala) Base de Conhecimento sobre vulnerabilidades e padrões OWASP
  12. 12. OWASP 12
  13. 13. Analise os Resultados e o Código Os findings apontados pela ferramenta serão “drives” mas não garantem a existência da falha Analise linha por linha de código buscando o entendimento da lógica de negócio e o contexto OWASP
  14. 14. Corrija Apenas identificar as falhas não é suficiente, corrija Aprenda com o processo de identificação e correção das falhas (Gestão de Vulnerabilidades) OWASP
  15. 15. Ferramentas para AnáliseMuitas Opções paratodos os bolsos elinguagensUm benchmark deferramentashttp://samate.nist.gov OWASP
  16. 16. Ferramentas de Suporte ao Processo Gerrit Review Board OWASP
  17. 17. Gerrit Código Aberto, desenvolvido e utilizado pelo Google Cria “hooks” no Git para enviar commits para revisores http://code.google.com/p/gerrit/ OWASP
  18. 18. Review Board Código Aberto Foco na documentação e colaboração na revisão de código http://www.reviewboard.org/ OWASP
  19. 19. CodeFight - Breve no Github Ferramenta Open Source para suporte a análise e documentação de projetos de revisão de código OWASP
  20. 20. Obrigado Wagner Elias, CTO welias@conviso.com.br @welias OWASP
  21. 21. Referências OWASP Code Review Guide https://www.owasp.org/index.php/ Category:OWASP_Code_Review_Project Secure Programming with Static Analysis http://www.amazon.com/Secure-Programming-Static-Analysis- Brian/dp/0321424778 The Art of Software Security Assessment: Identifying and Preventing Software Vulnerabilities http://www.amazon.com/The-Software-Security-Assessment- Vulnerabilities/dp/0321444426 OWASP

×