Secure Code Review

Transcript

1. Secure Code Review Juliana Gaioso @juligaioso [email protected] boas práticas, processos

   e ferramentas

2. Programo desde os 11 anos de idade; Estudei Engenharia de

   Computação e Engenharia Elétrica @ UFG; Formada em Análise de Sistemas @ PUC-GO; Pós Graduanda em Arquitetura de Software e em Segurança Ofensiva; Desenvolvimento Web, Automação Industrial e IoT; Segurança de Aplicações e produtos; Entusiasta de Open Source / Open Knowledge; Enxadrista, enóloga, maker;

3. Resumo Introdução a Segurança Code Review no SDLC Inserindo Segurança

   no code review Automatizando o SCR

4. O que é segurança?

5. Code review

6. Code review (sometimes referred to as peer review) is a

   software quality assurance activity in which one or more people check a program, mainly by viewing and reading parts of its source code, either after implementation or as an interruption of implementation. At least one of the persons must not have authored the code. The persons performing the checking, excluding the author, are called "reviewers". (en.wikipédia.org/wiki/code_review, acesso em 28/01/2024)

7. Identificar erros Melhorar a qualidade do código Promover boas práticas

   Garantir que o código esteja em conformidade com os padrões estabelecidos pela equipe.
8. None

9. Make it safe.

10. Ter assessments de segurança bem definidos; Treinar devs para entender

    e replicar segurança; Tratar segurança como uma qualidade do código;

11. OWASP Top 10; Secure Coding Dojo; Secure Coding Practices-Quick Reference

    Guide; Training PentesterLab; CodeBashing; FreeCodeCamp; Reports CVEs; CWEs; Zero-days;

12. Automatizando o Code Review SAST SCA

13. SAST Economia de tempo (milhares de linhas de código analisadas

    em segundos); Integração com CI/CD e IDE - mais presença no dia a dia do desenvolvedor. Static Application Security Testing

14. SAST Linguagem; Falsos Positivos; Valor ($$); Integrações Static Application Security

    Testing

15. SAST Checkmarx [Pay] Semgrep [Pay] Snyk [Pay] Veracode [Pay] Horus

    [OpenSource] Safety [OpenSource] ShiftLeft Scan [OpenSource] Static Application Security Testing

16. SCA Bibliotecas terceiras, infraestruturas, dependências; Geralmente são integradas ao SAST.

    Software Composition Analysis

17. Processos

18. None

19. Keep it real.

20. Security Champions; Continuous Security;

21. Dúvidas?

22. Extras: Awesome Secure Code Review Awesome DevSecOps Awesome Threat Modeling

23. Obrigada!