Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Secure Code Review

Juliana Gaioso
February 02, 2024
1
220

Secure Code Review

Talk apresentada no primeiro meetup codecon de Florianópolis em 31/01/2024.

Juliana Gaioso

February 02, 2024
Tweet

More Decks by Juliana Gaioso

See All by Juliana Gaioso
evil docs
juligaioso
1
24
Não existe maturidade sem segurança
juligaioso
0
75
Golang Securities 01
juligaioso
1
290
Cibersegurança_Feminina.pdf
juligaioso
1
250
Engenharia de Requisitos 101
juligaioso
2
290

Featured

See All Featured
Fontdeck: Realign not Redesign
paulrobertlloyd
82
5.2k
The MySQL Ecosystem @ GitHub 2015
samlambert
250
12k
Rails Girls Zürich Keynote
gr2m
94
13k
Bash Introduction
62gerente
608
210k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
26
1.4k
Thoughts on Productivity
jonyablonski
67
4.3k
The Straight Up "How To Draw Better" Workshop
denniskardys
232
140k
The World Runs on Bad Software
bkeepers
PRO
65
11k
Producing Creativity
orderedlist
PRO
341
39k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
169
50k
Done Done
chrislema
181
16k
Visualization
eitanlees
145
15k

Transcript

  1. Secure Code Review Juliana Gaioso @juligaioso [email protected] boas práticas, processos

    e ferramentas

  2. Programo desde os 11 anos de idade; Estudei Engenharia de

    Computação e Engenharia Elétrica @ UFG; Formada em Análise de Sistemas @ PUC-GO; Pós Graduanda em Arquitetura de Software e em Segurança Ofensiva; Desenvolvimento Web, Automação Industrial e IoT; Segurança de Aplicações e produtos; Entusiasta de Open Source / Open Knowledge; Enxadrista, enóloga, maker;

  3. Resumo Introdução a Segurança Code Review no SDLC Inserindo Segurança

    no code review Automatizando o SCR

  4. O que é segurança?

  5. Code review

  6. Code review (sometimes referred to as peer review) is a

    software quality assurance activity in which one or more people check a program, mainly by viewing and reading parts of its source code, either after implementation or as an interruption of implementation. At least one of the persons must not have authored the code. The persons performing the checking, excluding the author, are called "reviewers". (en.wikipédia.org/wiki/code_review, acesso em 28/01/2024)

  7. Identificar erros Melhorar a qualidade do código Promover boas práticas

    Garantir que o código esteja em conformidade com os padrões estabelecidos pela equipe.
  8. None

  9. Make it safe.

  10. Ter assessments de segurança bem definidos; Treinar devs para entender

    e replicar segurança; Tratar segurança como uma qualidade do código;

  11. OWASP Top 10; Secure Coding Dojo; Secure Coding Practices-Quick Reference

    Guide; Training PentesterLab; CodeBashing; FreeCodeCamp; Reports CVEs; CWEs; Zero-days;

  12. Automatizando o Code Review SAST SCA

  13. SAST Economia de tempo (milhares de linhas de código analisadas

    em segundos); Integração com CI/CD e IDE - mais presença no dia a dia do desenvolvedor. Static Application Security Testing

  14. SAST Linguagem; Falsos Positivos; Valor ($$); Integrações Static Application Security

    Testing

  15. SAST Checkmarx [Pay] Semgrep [Pay] Snyk [Pay] Veracode [Pay] Horus

    [OpenSource] Safety [OpenSource] ShiftLeft Scan [OpenSource] Static Application Security Testing

  16. SCA Bibliotecas terceiras, infraestruturas, dependências; Geralmente são integradas ao SAST.

    Software Composition Analysis

  17. Processos

  18. None

  19. Keep it real.

  20. Security Champions; Continuous Security;

  21. Dúvidas?

  22. Extras: Awesome Secure Code Review Awesome DevSecOps Awesome Threat Modeling

  23. Obrigada!