En los modelos y metodologías de desarrollo de software ágiles, las aproximaciones tradicionales en cuanto a la seguridad en el desarrollo simplemente no funcionan. Existen demasiados ciclos, demasiadas entregas de forma muy rápida y los recursos en los equipos de seguridad son escasos. Estas aproximaciones tradicionales se han quedado más obsoletas si cabe con la introducción de prácticas DevOps, que hacen que el tiempo que transcurre desde el inicio de un nuevo ciclo de desarrollo hasta que el conjunto de funcionalidades implementadas, durante ese ciclo, esté en producción, sea cada vez menor. El objetivo de esta charla es mostrar cómo podemos actualizar las prácticas de seguridad sobre el desarrollo de software al conjunto de prácticas de desarrollo y entrega actuales. Para ello se desarrollarán conceptos como Modelado Ágil de Riesgos, Puntos de Contacto en actividades relativas a la seguridad del desarrollo durante su ciclo, la automatización de pruebas de seguridad y verificación de correcciones sobre vulnerabilidades detectadas. Estas dos últimas utilizando BDD-Security.
15. ¿Qué ha pasado? - DevOps, CI/CD (3)
15
Desarrollo Pre producción Producción
Agile CI CD
DevOps
Despliegue
Tests de
aceptación
Tests de
integración
Tests
unitariosConstrucción
Diseño +
Implementación
Dev OpsQA
23. 23
¿Cómo? (1)
- Análisis ágil del riesgo
- Tipo de datos que gestiona la aplicación/componente
- Zona en la que estará instalado
- Pruebas específicas en función de las propiedades de los componentes
- Tiempo
Activos Zonas Pruebas
Información personal
Propiedad Intelectual
Datos de tarjetas de crédito
Datos semi-publicos
Datos públicos
Expuesto a Internet
Proveedor de cloud
DMZ
Red Interna
CWE-89 (SQL Injection)
CWE-79 (XSS)
CWE-22 (Path Traversal)
CWE-98 (RFI)
CWE-121 (Buffer Overflow)
24. 24
¿Cómo? (2)
- En función de Activos + Zona, riesgo de la aplicación como:
- Crítico
- Alto
- Medio
- Bajo
- Muy bajo
Activos Zonas Pruebas
Información personal
Propiedad Intelectual
Datos de tarjetas de crédito
Datos semi-publicos
Datos públicos
Expuesto a Internet
Proveedor de cloud
DMZ
Red Interna
CWE-89 (SQL Injection)
CWE-79 (XSS)
CWE-22 (Path Traversal)
CWE-98 (RFI)
CWE-121 (Buffer Overflow)
25. 25
¿Cómo? (3)
- En función de Activos + Zona, riesgo de la aplicación como:
Riesgo
+++ ---
Configuración Automatización
--- +++
Crítico
Alto
Medio
Bajo
Muy bajo
27. 27
BDD-Security (1)
- Behavioral Driven Development + Security
- Gherkin Syntax/Cucumber
- Selenium/WebDriver
- OWASP Zap
- Nessus
- Herramientas de seguridad internas
- Conjunto de especificaciones de seguridad base.
Feature: Refund item
Scenario: Jeff returns a faulty microwave
Given Jeff has bought a microwave for $100
And he has a receipt
When he returns the microwave
Then Jeff should be refunded $100
33. Touch Points
33
Desarrollo Pre producción Producción
Agile CI CD
DevOps
Despliegue
Tests de
aceptación
Tests de
integración
Tests
unitariosConstrucción
Diseño +
Implementación
Dev OpsQA