Palestra ministrada no OWASP Floripa Day - Florianópolis - SC |
Programadores desenvolvem código como se não houvesse amanhã e pouco se investe na validação de segurança de código. A palestra aborda práticas de revisão de segurança de código e como deve ser adotado a prática em um processo de desenvolvimento de software.
2. Por que revisar código?
Muito código
desenvolvido sem
um método
apropriado
Desconhecimento
de características
de segurança
Necessidade de
conformidade com
padrões
http://bozosecurity.blogspot.com.br/
OWASP
3. Alguns números
Estudo do NIST diz
que 92% das
vulnerabilidades
estão em software
O Gartner diz que
falhas em software
são a causa de 75%
dos incidentes de
segurança
OWASP
10. Estabeleça Objetivos
Qual o objetivo da
aplicação? E-Commerce;
Dados de Cartão…
A aplicação necessita de
conformidade com
padrões de segurança
como os de cartão de
crédito (PCI)?
OWASP
11. Use ferramentas de suporte a análise
Possibilita triar alguns
“findings” em um
número grande de linhas
de código rapidamente
(escala)
Base de Conhecimento
sobre vulnerabilidades e
padrões
OWASP
13. Analise os Resultados e o Código
Os findings apontados
pela ferramenta serão
“drives” mas não
garantem a existência da
falha
Analise linha por linha
de código buscando o
entendimento da lógica
de negócio e o contexto
OWASP
14. Corrija
Apenas identificar as
falhas não é suficiente,
corrija
Aprenda com o processo
de identificação e
correção das falhas
(Gestão de
Vulnerabilidades)
OWASP
15. Ferramentas para Análise
Muitas Opções para
todos os bolsos e
linguagens
Um benchmark de
ferramentas
http://samate.nist.gov
OWASP
17. Gerrit
Código Aberto,
desenvolvido e utilizado
pelo Google
Cria “hooks” no Git para
enviar commits para
revisores
http://code.google.com/p/gerrit/
OWASP