Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Automação de Segurança no Desenvolvimento de So...

Marylly
November 20, 2021

Automação de Segurança no Desenvolvimento de Software

Palestra para o She's Tech Conferente ocorrido em 20 de novembro de 2021.
Trago alguns pontos introdutórios sobre os impactos e preocupações relacionados a segurança de aplicações de software e como isso pode ser colocado de forma automatizada em projetos

Marylly

November 20, 2021
Tweet

More Decks by Marylly

Other Decks in Technology

Transcript

  1. Deixem me apresentar Atua com software desde 2005, formada em

    Sistemas de Informação (UMESP, 13), pós-graduada em Gestão Pública (FESPSP, 2015), Facilitadora/instrutora do projeto #MinasProgramam e da comunidade #WWGSP. Mais nova membro do #DevsJavaGirl, Consultora de desenvolvimento de software na ThoughtWorks. Menina e mulher de família de cor simples da região periférica de SP
  2. Por que eu estou aqui? • Ação Afirmativa • Desigualdade

    de gênero • Desigualdade racial • Desigualdade social e econômica • Networking mais diverso, presente e comprometido
  3. Segurança no desenvolvimento de software? "Uber pagou hackers para ocultar

    uma brecha de dados de 57 milhões de usuários" - O escândalo mais recente do serviço de compartilhamento de viagens combina a negligência rotineira de segurança com um encobrimento "terrível".
  4. Notavelmente, os aspectos humanos dos sistemas humano-computador apenas crescem junto

    com a ameaça de escala percebida: afinal, a automação não elimina os humanos; em vez disso, nos desafia a reafirmar as necessidades humanas em todas as escalas, desde a gênese de uma ideia individual até as implantações massivas em nome de uma base de usuários global. "Remarkably, the human aspects of human-computer systems only grow alongside the perceived menace of scale: it turns out that automation doesn’t eliminate humans, after all; rather, it challenges us to reassert human needs across all scales, from the genesis of an individual idea to the massive deployments on behalf of a global user base." - Mark Burgess - The Site Reliability Workbook
  5. Delegar a verificação de segurança não garante e exime a

    necessidade de avaliar a segurança no estado atual e testar novas melhores mesmo que manualmente.
  6. Possíveis automações • Scanner informações sensíveis • Verificação de dependências

    • Vulnerabilidade de código • Complexidade de código • Teste de Penetração (Pentest) • Logs e Monitoramento
  7. Referências Foto bell hooks: https://www.thoughtco.com/bell-hooks-biography-3530371 Banco de Imagens: https://www.flickr.com/photos/wocintechchat Hack

    Brief: Uber Paid Off Hackers to Hide a 57-Million User Data Breach: https://www.wired.com/story/uber-paid-off-hackers-to-hide-a-57-million-user-data-breach/ OWASP Top 10: https://owasp.org/www-project-top-ten/ OWASP SEDATED GitHub Repository: https://github.com/OWASP/SEDATED OWASP SEDATED - Simeon Cloutier & Dennis Kennedy: https://www.youtube.com/watch?v=mNjIhCq4Qfw DXC spills AWS private keys on public GitHub: https://www.theregister.com/2017/11/14/dxc_github_aws_keys_leaked/ Equifax Data Breach Impacts 143 Million Americans: https://www.forbes.com/sites/leemathews/2017/09/07/equifax-data-breach-impacts-143-million-americans/?sh=6d0fd408356f SKY Brasil Exposes 32 Million Customer Records: https://www.bleepingcomputer.com/news/security/sky-brasil-exposes-32-million-customer-records/ World's Biggest Data Breaches & Hacks:https://informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/
  8. Referências 2020 CWE Top 25 Most Dangerous Software Weaknesses: https://cwe.mitre.org/top25/archive/2020/2020_cwe_top25.html

    GitSecrets: https://github.com/awslabs/git-secrets RepoSupervisor: https://github.com/auth0/repo-supervisor TruffleHog: https://github.com/dxa4481/truffleHog GitGuardian: https://www.gitguardian.com/monitor-public-github-for-secrets How to Scan GitHub Repository for Credentials?: https://geekflare.com/github-credentials-scanner/ Top GitHub Dorks and Tools Used to Scan GitHub Repositories for Sensitive Data: https://securitytrails.com/blog/github-dorks National Vulnerability Database: https://nvd.nist.gov/ Bandit: https://github.com/PyCQA/bandit Brakeman: https://brakemanscanner.org/ CheckMarx: https://www.checkmarx.com/ FindSecBugs: https://find-sec-bugs.github.io/