Desenvolvimento Ágil e Segurança Namoro ou Inimizade?

293 views

Published on

Uma visão sobre a implementação de segurança em processos de desenvolvimentos ágeis.

Published in: Software
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
293
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
6
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Desenvolvimento Ágil e Segurança Namoro ou Inimizade?

  1. 1. Desenvolvimento Ágil e Segurança Namoro ou Inimizade? Agile Trends Br - São Paulo, 25 de Abril 2014 - Wagner Elias Thursday, May 8, 2014
  2. 2. Ágil? Thursday, May 8, 2014
  3. 3. Apenas identificar falhas não é suficiente Para quem apenas ouviu falar O que é ser ágil Thursday, May 8, 2014
  4. 4. Apenas identificar falhas não é suficiente Para fanboys O que é ser ágil Coloque sua marca aqui Thursday, May 8, 2014
  5. 5. Apenas identificar falhas não é suficiente O que é ágil para um agilista O que é ser ágil Thursday, May 8, 2014
  6. 6. Eu preciso de segurança? Thursday, May 8, 2014
  7. 7. Apenas identificar falhas não é suficiente Porque agilistas acham que não precisam de segurança Mitos Nós somos rockstar Conheço todos os ensinamentos de Martin Fowler e programo seguindo todas as práticas modernas Nós testamos Escrevo teste para tudo que desenvolvo, logo meu código não tem problema algum Automação é poder Eu tenho integração contínua e automatizo todos os testes inclusive os de segurança Thursday, May 8, 2014
  8. 8. Automação Resolve? Thursday, May 8, 2014
  9. 9. Apenas identificar falhas não é suficiente Exemplo de Cross Site Scripting que o Code Climate não pega Alguns problemas com automação Exploração http://localhost:3000/xss/vuln?jsonify=true&var=%3Cscript%3Ealert%281%29%3C/script%3E Controller View Thursday, May 8, 2014
  10. 10. Apenas identificar falhas não é suficiente Exemplo de Redirect inseguro que o Code Climate não pega Alguns problemas com automação Exploração http://localhost:3000/unsafe_redirect/index?url=http://www.google.com Thursday, May 8, 2014
  11. 11. Aplicando segurança em práticas ágeis Thursday, May 8, 2014
  12. 12. Apenas identificar falhas não é suficiente Insira atividades de segurança nos sprints Aplicando Segurança em Agile Modelagem de Ameaças Realize uma análise de risco do produto de software que será desenvolvido mapeando os cenários de abuso e riscos associados Revisão de Código Utilize as ferramentas de automação mas realize revisões de segurança de código feita por especialistas durante e/ou intercalando com os sprints Teste de Invasão Realize testes de invasão buscando subverter o produto de software entregue e rodando em ambiente semelhante ao de produção Treinamento Desenvolvedores precisam ser treinados para entender os riscos de segurança associados ao desenvolvimento de software Thursday, May 8, 2014
  13. 13. Atuação em todo Brasil e exterior Rua Marechal Hermes 678 CJ 32 CEP 80530-230, Curitiba, PR T (41) 3095-3986 Wagner Elias welias@conviso.com.br Obrigado Siga no Twitter https://twitter.com/conviso Curta a Fanpage no Facebook https://facebook.com/convisoappsec Conheça o nosso blog http://blog.conviso.com.br Thursday, May 8, 2014

×