Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Secure Code Review

Juliana Gaioso
February 02, 2024
220

Secure Code Review

Talk apresentada no primeiro meetup codecon de Florianópolis em 31/01/2024.

Juliana Gaioso

February 02, 2024
Tweet

Transcript

  1. Programo desde os 11 anos de idade; Estudei Engenharia de

    Computação e Engenharia Elétrica @ UFG; Formada em Análise de Sistemas @ PUC-GO; Pós Graduanda em Arquitetura de Software e em Segurança Ofensiva; Desenvolvimento Web, Automação Industrial e IoT; Segurança de Aplicações e produtos; Entusiasta de Open Source / Open Knowledge; Enxadrista, enóloga, maker;
  2. Code review (sometimes referred to as peer review) is a

    software quality assurance activity in which one or more people check a program, mainly by viewing and reading parts of its source code, either after implementation or as an interruption of implementation. At least one of the persons must not have authored the code. The persons performing the checking, excluding the author, are called "reviewers". (en.wikipédia.org/wiki/code_review, acesso em 28/01/2024)
  3. Identificar erros Melhorar a qualidade do código Promover boas práticas

    Garantir que o código esteja em conformidade com os padrões estabelecidos pela equipe.
  4. Ter assessments de segurança bem definidos; Treinar devs para entender

    e replicar segurança; Tratar segurança como uma qualidade do código;
  5. OWASP Top 10; Secure Coding Dojo; Secure Coding Practices-Quick Reference

    Guide; Training PentesterLab; CodeBashing; FreeCodeCamp; Reports CVEs; CWEs; Zero-days;
  6. SAST Economia de tempo (milhares de linhas de código analisadas

    em segundos); Integração com CI/CD e IDE - mais presença no dia a dia do desenvolvedor. Static Application Security Testing
  7. SAST Checkmarx [Pay] Semgrep [Pay] Snyk [Pay] Veracode [Pay] Horus

    [OpenSource] Safety [OpenSource] ShiftLeft Scan [OpenSource] Static Application Security Testing