Continuous security

1. Continuous Security
Sławomir Radzymiński
19.03.2019 SkładQA

2. O mnie
• Senior Software Engineer in Test
• KraQA - członek zespołu
• Blog – awesome-testing.com
• Vistula – wykładowca
• Open source - fluentlenium.com
• s_radzyminski

3. 1. Cykl życia oprogramowania i
bezpieczeństwo
2. Testerzy i bezpieczeństwo
3. Przykłady praktyczne - mięso :)
Agenda

4. Tak było kiedyś...
https://xbsoftware.com/blog/software-development-life-cycle-waterfall-model/

5. Tak było kiedyś...
Security?
https://xbsoftware.com/blog/software-development-life-cycle-waterfall-model/

6. Dev
Application
Test
Integration
Test
Continuous Integration

7. Dev
Application
Test
Integration
Test
Acceptance
Test
Continuous Delivery

8. Dev
Application
Test
Integration
Test
Acceptance
Test
Production
Continuous Deployment

9. Dev
Application
Test
Integration
Test
Acceptance
Test
Production
Continuous Testing

10. Dev
Application
Test
Integration
Test
Acceptance
Test
Production
Continuous Testing
Continuous Security

11. Continuous Security
Just another
non-function
al
requirement

12. Continuous Security
Just another
non-function
al
requirement
Key concern
throughout all
phases of
development
lifecycle

13. Typowy tester
https://tenor.com/view/programmer-programming-computer-typing-gif-7603564

15. https://www.boredpanda.com/funny-hungry-dogs-begging-food/?utm_source=go
ogle&utm_medium=organic&utm_campaign=organic
give me the
meat...

18. Credentials

19. Relying on HTTP headers

20. Hashing algorithms

22. Proces
1. Wprowadzenie Sonara - sprawdzamy tylko nowy kod

24. Proces
1. Wprowadzenie Sonara - sprawdzamy tylko nowy kod
2. Poprawiamy błędy znalezione w starym kodzie

25. Proces
1. Wprowadzenie Sonara - sprawdzamy tylko nowy kod
2. Poprawiamy błędy znalezione w starym kodzie
3. Usuwamy flagę która wymusza sprawdzanie tylko nowego
kodu

26. Zależności

28. (...) the malicious packages executed
code which sent the contents of the
user’s .npmrc file to the attacker.
https://eslint.org/blog/2018/07/postmortem-for-malicious-package-publishes

35. Proces
1. Nie powinien być uruchamiany po każdym commicie.
Niestabilny build

36. Proces
1. Nie powinien być uruchamiany po każdym commicie.
Niestabilny build
2. Sporo fałszywych alarmów

37. Alternatywy

41. Proces
1. Sporo pracy na początku
2. Wymaga dobrego pokrycia testami
automatycznymi

52. Proces
1. Test odpalany nocą
2. Rano weryfikacja wyników

53. Testy bezpieczeństwa w
funkcjonalnej regresji

55. Dev
Application
Test
Integration
Test
Acceptance
Test
Production
Continuous Testing
Continuous Security