OWASP Top 10 e porquê ele pode melhorar as habilidades de controle de qualidade?
01:06:11
OWASP Top 10 e porquê ele pode melhorar as habilidades de controle de qualidade?
bom então pessoal é essa apresentação aqui é o que falar um pouco do pastor tem um geral né e como que os pais choram sair não que as não é o pessoal trabalha com um teste e até mesmo desenvolvimento pode usar isso a seu favor né para dar um ato então agenda é conceitos e contexto a questão do papéis e responsabilidades os princípios vai design by the foul ou as que tu tem né e esquilos e mais habilidades aí né para dar uma melhorada nas habilidades e roupinhas diferentes oi aqui é a minha apresentação né não faz não falou eu já tô aí há 16 anos no mercado mais ou menos por aí e nos últimos cinco seu me me foquei especificamente na questão de projetos voltados para qualidade sofre para segurança da informação para governança né tanto de t.i. quanto de segurança quanto de conformidade aí como qualidade e a sopa de letrinha aí’ das certificações que a gente não pode parar né segue o baile vamos para os conceitos e contextos eu gosto de começar pelos conceitos e contextos porque quando a gente fala de qualidade de software quando a gente fala de que a pessoa o consumo de muito alguns temas né controle de qualidade com garantia de qualidade e com engenharia de software então assim no geral engenharia de software é uma o que é de desenvolvimento do sistema né daquela relação do custo-benefício tigamente você demorava muito para fazer sofre gostava muito tarde você precisava é obter um tempo razoável um custo aceitável por um benefício um sócio funcionar né então é auxiliar na construção de produtos de qualidade as pessoas acham que só o fato de você está usando engenharia de software já tem qualidade né não é bem assim se precisa entender que controle de qualidade é um conjunto de processos métodos para monitorar o trabalho e os requerimentos envolvidos né focado na revisão e remoção de defeitos antes da entrega mas depois que eu entreguei na história do corrigir o bug produção é o anderson eu controle em italiano teu ciclo de vida de desenvolvimento a garantia da qualidade ou sofre peixans as urnas aí né é é o conjunto de atividades né então é o teu processo envolve controle da qualidade é uma é um processo dentro da garantia da qualidade não é só ele ou não é só a garantir ou só o controle eles trabalham aí em conjunto né o controle de qualidade é uma atividade dentro do processo de garantia de qualidade e o objetivo principal disso é que o projeto entregue todos os processos e padrões necessários para atender os requisitos né e aí a gente entre a qualidade de software me empreste de sofre aí a pessoa que acompanha você tem que comprar em si em livros nessa tem que comprar que a conformidade com o padrão a empresa usa o cinemaria empresa uso mps.br a empresa usa o e sim a empresa usa o sangue fim a padrões para você ver a questão de conformidade né eu tenho que comprar para o curativo com classe de leite tem como então tem que escolher o que que você é realmente perto de acordo aí você tem aquele número da gente sofre eu tô fazendo dia lá para casa direito para isqueiro né então o teste de software também uma atividade e faz parte do controle de qualidade bom né é e também dentro da qualidade e da garantia de qualidade só é um teste de programas podem ser usados para mostrar a presença de defeito mais nunca a sua ausência aquela história do fiz os testes passou então não tem blog acredite vai ter um em algum momento alguém vai escolher o principal objetivo é medir a qualidade dos offer em termos de defeitos encontrados por características e requisitos funcionais e não funcionais isso segundo a iso aí uma definição de teste só então quantos bancos eu tenho quanto quanto eu testei das funcionalidades e dessa funcionalidade quantos vai dizer eu comprei quantos defeitos eu encontrei aí que comprometem requisitos funcionais e não funcionais né o teste é para isso aí a partir disso você faz um controle da qualidade e para garantir a qualidade né a qualidade é um processo sistemático e objetivo na qualidade e garantir a qualidade de um produto de software através da definição e normatização de processos de desenvolvimento garantindo um produto final e satisfaz as expectativas do cliente dentro do que foi acordado entre as partes ou seja uma pessoa fala assim a iso certificou o produto na teste com o processo porque se eu disse que eu sigo a iso eu tenho um processo definido meu processo de garantia da qualidade eu vou ter lá a minhas atividades os subprocessos de controle de qualidade um desses subprocessos é o teste de software outro postem um outro controle lá sobre conformidade a conformidade com os requisitos legais homenagem com os requisitos no modelo iso que esteja seguindo ou de um modelo de maturidade proteja o seguindo a a conformidade com os requisitos não-funcionais tudo isso no e o garante diz assim olha o meu produto tem qualidade o que o processo foi definido executado de acordo com está desenhado e aí entra a questão da engenharia de software que eu gosto de falar aqui do bote normalmente nos eventos presenciais eu pergunto assim quem conhece o sua moto aí fica aquele vácuo quando eu consigo 15 pessoas acho que o máximo que eu consegui ficar 158 pessoas numa pauta e sabiam que eram super box em bem animada quando eu vi isso né mas é nessa hora que a gente sabe que principalmente aqui no brasil a gente tem uma carência aí na rede só que a gente não é apresentado ao guia de boas práticas aí e as áreas de conhecimento né que que a engenharia de software envolve um bom então eu tenho a edição do requisito design da construção do teste da manutenção do modelo da qualidade sofre veja teste sofre com qualidade de som né tem atenção da gestão de configuração ao gerenciamento da índia ali ele sofre o processo de engenharia tem a prática profissional seja reboque inclusive para os engenheiros de software assim como piemar têm pênis box lá e o código de boas práticas de e éticas inclusive o de engenharia de software também tem e quando a gente fala né de só críticos por exemplo esses que operam aviões que operam aparelhos hospitalares você quiser você tá me dando muitas pessoas então não é só fazer uma fraude né vídeo lá volkswagen a volkswagen né fala daí o sofrem para dizer que 15 menos poluente e imagina ser fraudar um sócio como engenheiro para dar resultado de um sofre de avião víd boeing tá indo aí o 737 max lá eles são problema é só um e beija olha o tamanho da do negócio porque provavelmente alguns envolvidos faltaram com alguns conhecimentos ou até mesmo com a ética profissional ali de avaliar melhor o áudio só sim da fábrica negro no banho enfim então é importante quando a gente fala de engenharia de software pessoa acha assim a gente sofre desenvolver sofre não é só desenvolver só existe no conjunto de áreas de conhecimento você tem que pensar na hora de desenvolver esses focos de pensar na engenharia dele ou seja na engrenagem como você vai construir com isso vai funcionar na prática ah e também entra aqui uma coisa legal né engenharia de software econômico seja a questão da manutenabilidade disso vamos pela habilidade a sustentabilidade financeira disso a viabilidade disso é e aí a gente vem a questão do ciclo de vida né ou a gente está falando de software todo tipo de análise morre um dia ele se aposenta assim como dado e um dia ele entra nada e no final ele pode continuar com um babado no banco ele pode continuar com uma informação né o conjunto de dados agregados que fornece uma informação e conhecimento para tomada de decisão para um a gente precisa ter em mente que as coisas começam e terminam e que dentro desse ciclo existem fases que a gente precisa realizar da melhor forma possível essa fase onde a gente está falando de dado informação a gente tem a pessoa de entrada de dados de identificação e tratamento da monitoração e do descarte são pontos que a gente não pode perder de vista quando a gente está falando de ciclo de vida no geral e tem uma entrada no meio ali uma saída e a saída às vezes é a exportação de algo a a a explosão de algo né mas tem em faço sempre isso e especificamente olhando para dados e informações a gente tem ter um cuidado maior vídeo e agora as leis né que estão tendo aí pelo dia que dentro brasil já de pele na europa ccpa nos estados unidos enfim e aí entra um conselho legal de segurança é porque normalmente pega pensando que eu tô pensando em janeiro solta neves mover escrito automatizar e tal e segurança que que eu quero como que é a com segurança que eu tenho que saber cara você tem que saber minimamente o conselho de segurança segurança ela quer o que ela visa manter a disponibilidade e integridade confidencialidade das informações e autenticidade o não-repúdio e o que a informação hoje ela tá em ativos e harvard software humanos enfim e você tem que pensar nesses ativos de informação né mas contra medidas para proteger esse ativo das ameaças né os riscos de explorar as vulnerabilidades que esses ativos estão sujeitos então o eu produzo sou seu criar né que que eu faço eu testo sofre eu posso documentação de teste o passo modelagem ensinar com base nos requisitos então eu tô testando um ativo de software ele é um ativo de informação vai ter informação então como é que eu posso pensar na segurança desse ativo que eu tô testando oi e aí tem mais um conceito que eu de cyber é a questão de proteger o sistema contra roubo ou perdas e danos de hardware software e o ou dados eletrônicos bem como a interrupção no desorientação dos serviços ou seja eu tô fazendo avaliando aqui testando aqui documentando um processo de parte aqui de um sócio ele vai ser um app neve só a beleza ele tem risco de sair nesse branco o que são dados eletrônicos então eu tenho que pensar não só na na segurança do harvey lá beleza tem um servidor tem que five ten baixo isso mas espera aí que que eu posso melhorar pensar na segurança eletrônica é tudo nele vai trafegar pela pela internet né como que eu olho para sair de segurança ou texto aí né como é que eu identifico os ativos as ameaças é como é que eu vou proteger de alguma forma ou testar a proteção desse aplicativo de alguma forma contribuir a melhorar a proteção desse aplicativo já que eu sou criar eu não a segurança a é é é bom pensar nesse contexto de saiba tem uma noção e a segurança o que que a engenharia como é que eu boto segurança na engenharia como é que eu boto o cyber né e aí a gente vem para o conceito de deve ser copos né é o conjunto de práticas para integrar os movimentos segurança e operações utilizando os processos automatizados quer dizer hoje a gente se a gente pensar não deve ser pobres muita gente vem aqui no final aqui no release dentro horrível depois desse botei o pentest lá bom então eu tenho que aqui no peixe eu tenho desenvolvedor aqui eu botei um analista de segurança fazendo um teste lá no final acho que passo deve ser copos não é isso fazer deve ser copos não é isso e para você fazer um deve ser copo de um efeito todo mundo que está envolvido numa das fases aí do teu ciclo de vida de desenvolvimento na tua aplicação independente dela ser desktop online offline o enfim tem que ter a noção do que é segurança do que que visa a segurança se é uma aplicação que vai ser web que vai ser exposta ele tem também a noção de sai de segurança que os riscos são diferentes dos perímetros são maiores né e todo mundo tem que tá aí entendendo que a segurança não é só do analista de segurança e não é só o pentest requisitos que você coloca desde o planejamento ou na descrição de requisitos não-funcionais ali e que você vai executando ela em camargo oi gatinha que são do devoxx não é p a questão do movimento cultural que muda o que que eu boto deve o que se deve ser pobre tem gente que já quer ir para o deve sete copos sem nem ter feito deve ops great ele não entendeu que o devoto é uma questão cultural uma maneira de pensar uma forma de trabalhar e não um carro uma área uma função e aí eu faço sociais e de então faço de boxe é uma empresa tenha empresa tem tem tipo tem se comprovou que uma caixinha lá e aí agora ele quer pir deve ser que óculos beijo é por isso que eu gosto de explicar o conceito anderson as pessoas estão usando os conceitos de forma errada oi e aí o cara dizia o que tenho agora eu quero ter outra coisa quero comprar caixinha do dessa copa até agora é legal ter certo no meio e sendo que ainda nem conseguiu é compor os processos né as práticas conjunto de práticas aqui para fazer deve o que realmente não pago mais cultural o as pessoas entendem o que elas trabalham em sinergia elas entendem os processos estão integrados a gente automatizou coisas nos definiu e padronizar o processo e a partir disso automatizou ela já quer chegar e meter um deve ser costas e o que ele não pensou no sdlc né no ciclo de vida dele de desenvolvimento eu quero fazer deve ser pobres então eu tenho que pensar em um modelo de desenvolvimento seguro para eu pensar isso eu tenho que ir além do pleno do bild taís eu tenho que imprimir mais atividades voltadas para a segurança durante cada camada dessa tem a questão do treinamento e conscientização primeiro lugar para poder equipe para ninguém achar se não mas eu sou deve aí só soltar então esse negócio de segurança fica lá com a mharessa de segurança não não é onde você tá falando de um ciclo de vida de desenvolvimento seguro cada um e tá naquela fase de peso quando aquelas coisas atividades daquela de cada fase do ciclo ele tem a sua parcela de contribuição com a segurança e não é só o analista então a gente tem aqui os requisitos de segurança é a questão do design que entra a leitura de segurança a modelagem de ameaça a padrões de decodificação segura requisitos na e segurança do negócio design da segurança quantificação segura segurança quer dizer eu vou avaliar os riscos depois do treinamento e avalie os riscos eu vejo meu requisito de segurança de negócio pegou ainda segurança começa a modelar começa a ver a codificação segura análise estática de código e testes de segurança revisão de peste de segurança revisão do código revisão da segurança em resposta a resposta a incidentes de segurança o identifiquei aqui manutenção do começo ao fim é a demais atividades não são incluídas na triciclo desenvolvimento para garantir realmente um ciclo seguro e tentou fazendo um dar é bem feita com distribuindo as responsabilidades não só para análise de segurança mas para todos os envolvidos durante as várias atividades de cada fase que compõem o ciclo de desenvolvimento oi e aí entra uma coisa importante não é um conceito aí que é o dia usabilidade da segurança segurança e usabilidade elas entram em harmonia ou no sistema interpretar corretamente as expectativas do usuário olha que sensacional isso quer dizer quer dizer que eu vou restringir o acesso às operações com efeito indesejáveis o açúcar apertar aqui vai prestar né vai quebrar a tela vai sair do lugar não espera aí se ele fica aqui eu vou dar uma mensagem para ele você tem certeza que você quer excluir isso ao mover isso de lugar se você mover isso que usar até ela vai ficar assim a a fazer então robert sim aí o cara para você tem que oferecer você tem que entender né compreensão do modelo mental do usuário conhecer os lados vai apresentar para ele ó se você deve tá isso aqui então só que você não vai aparecer mais você tem certeza que você quer fazer isso e não é só chegar lá se deleite aí o usuário depois disso será dele tem aquele negócio que eu apertei era para mim levar entendeu não tem como voltar então quando a gente pensa na usabilidade a gente tem que pensar no que a gente vai desenvolvendo para quem vai estar lá na ponta recebendo e para gente que tá aqui compondo esse ciclo também né o quanto dessas atividades e dessas ferramentas que foram inseridas nesse ciclo nas esteira que incluindo não só o desenvolvimento e operação mais a segurança é usado para as pessoas e é por isso a necessidade de treinar e concientizar ela porque às vezes você coloca processos ou atividades tão complexas que as pessoas não vai ter esse no meio do teu no teu círculo ainda costeiras desenvolvimento ou que ele não entenderam como é que se chama então se imagina-se o capitalismo executando desenvolvendo fazendo as atividades não entendi a segurança não é acessível e usava por ele como é que você acha que vai sair o produto final como é que você acha que os olhos não vai pegar o produto vai dizer olha eu vou usar isso aqui é de uma forma segura não vai se você tem que ver que usuário é as decisões são baseadas nas relações do usuário ele trabalha com design de interação e diz olha a partir do momento que eu faço isso eu forneço uma habilidade pelo fornecimento toró você está fazendo isso é isso mesmo que você quer o quê aí você é no momento você vai se retorno você previu efeito indesejado eu não tô te dando esse acesso o excesso você pode fazer isso é isso que você quer é isso que você precisa se não volto acesso né ah e aí entra o contexto tem né alasca o projeto aberto de segurança ao todo mundo já conhece estamos todos aqui disponibiliza a comunidade toda é de forma gratuita artigo metodologia documentação e o as que tô tem um documento de conscientização para a segurança de aplicações web são autenticamente ele era só web né hoje a gente tem um mobile pelo qual se tem a riot tem a p item agora de container você tem uma infinidade mas começou os principais riscos web foram as primeiras aplicações respostas aí que foram surgindo hoje a gente tem uma infinidade de outras aplicações respostas aí é um contexto era o que ele e os principais riscos né concientizar sobre os principais riscos e vulnerabilidades de segurança para aplicação de leve hoje tá bem mais expandido e é isso nas cidades também chegaram da quantidade de ataque de palha de erros e aí veio a questão top tem um e aí eu entro aqui nos papéis responsabilidade né porque que eu coloco para presente com saudade que eu apresentei a esse ciclo de vida de desenvolvimento seguro apresentei aí conselho de segurança de devotos tivesse sete horas então assim para isso funcionar bonitinho não basta ter celular o analista de qualidade sócio e desenvolvedor né porque o resto é assim quem lacypet infra-estrutura infra-estrutura código desenvolvedor ai quem desenvolve não quem desenvolve é o desenvolvedor ele o arquiteto de software também é engenheiro e aí faz aquela salada no final para lá tá com pratinho pires zinho lá de arquiteto de software pires de arquiteto de infra de arquiteta de dado aquele monte de pratinho lá segurando e tem uma hora com pratinho caio e aí dá ruim e aí normalmente quando vai dar o ruim em produção com qualquer água nos assim olha para lá no texto direito que aí não é bom não porque ele disse que achas isso se bang aqui e a gente corrigiu mas deu um oi para opção 1 e o que as pessoas estão acumulando papéis e responsabilidades e aí estão se preocupando alguns conceitos em nome de uma agilidade de um deve ser copos de um de vocs aí por isso que eu gosto de expor papéis responsabilidades e dizer quem é o perto de dados deve ser ocupado projetos das bases de dados com estrutura lógica não se envolvendo diretamente no aspecto físico em pectus topo deve se ocupar da quebra de complexidade do desenvolvimento de aplicações pedaços melhor menores e melhores gerenciados tem o deinfra e dizer é o esqueleto do sistema um grupo funcionamento de hardware software redes ter dois a infração no por uma coisa que o arquiteto de software não tá olhando que o arquiteto utilizados não tá olhando e que o arquiteto de soluções também não tá olhando ele vai ter uma responsabilidade de entender o problema do negócio e resolver encaminhar te dizer e beija hoje os times têm basicamente assim que que você é desenvolvedor e o que nossa engenheiro de software não era se você já era só o que desenvolvedor é a mesma coisa entrou agora que eu vi alguns engenheiro de teste e o engenheiro a quem vai projetar a engenharia a higiene o motor a engrenagem para funcionar a ser desenvolvedor não faz de você engenheiro de software nem arquiteto você tem que olhar para uma coisa com uma visão de engenharia ou de arquitetura é a mesma coisa o que é tão também tem aqui o arquiteto corporativo arquiteto de segurança de bh o edson dinheiro de sobra e dizer eu tenho um arquiteto de segurança não quer dizer e é acontece verdade isso acontece mesmo assim eu acho que pede trocar o cara bota lá na lista de pentest diz a senhora tem segurança eu passo deve ser colups mas você não tem nenhum arquiteto nem alguém que se ocupou com as especificações de segurança para captura de rede de inferno sistema do projeto nada você só botão pentest lá e você acha que já tá seguro e aí que você já faz deve ser copos olha que legal bom então isso é arriscada mesmo perigoso já vim para ele fazer isso dizer que faz dela essa foto é e aí entra aqui no importar com ela no artigo do arco-íris do carinha lá que os que sempre vão ver mas ok e a referência lá ver ele na internet acho que uma crise também fez uma referência escreveu sobre esse esse artigo dele é bem interessante e aí pessoal primeira coisa que eu que as pessoas olhem que ela só sabem que existe do chinelo red team blue team o que é a parte do que defende o resto as pessoas ignoram veementemente a questão não é que eu vou ter todos estes mas eu posso ter o que eles chamam de champions né ah beleza eu tenho meu time aqui de cinco seis sete oito pessoas sei lá meu time tem oito aqui meu meu dev-team aqui então eu coloco essas pessoas olhando para esses pontos olhos para aquele pinto olhar para cima de identificação e esse outro aqui de proteção esse outro de detecção é centro de respostas sobre de recuperação vai ser outro de construção oi e aí você dá meios para as pessoas dentro das atividades dela ali no ciclo seja como desenvolvedor seja como que é a seja como analista de segurança o analista de negócio ou um bebê há uma lista de sorte enfim é você tá mesmo você ajuda a pessoa que pode ficar se não está pronta porque tem muita gente acaba mas eu não encontro ninguém pronto então treina treina e não cai do céu assim não não pai se você tá precisando investe em capacitar essas pessoas para que elas façam esse papel para você ter realmente um time multidisciplinar as pessoas têm habilidades e dentro das suas habilidades elas estão olhando para coisas específicas não é para olhar todo mundo faz tudo de todo mundo faz tudo uma hora o arroz queima o cachorro morre de fome é alguma coisa assim acontece tá e aí tem mais um time zinho aqui que é o haiti 1 tá com quem agora que fica de fora na laje conformidades e não conformidades é o pessoal que vai ver pô e foi especificado foi prido requisito de regra de negócio o o o ciclo de vida de desenvolvimento tá ok não tá ok foi extraído as métricas e relatórios de teste de qualidade de segurança e tal tá ok tá ok pra galera no um país que vai se alinhar com esse outro time maior aí colorido isso só uma sugestão para gente para pesar de contabilidade essa é uma outra sugestão baseada no white paper do ex-im sobre elevus e ele o seguinte dá uns papéis aqui né o service master o processo master o delfim de ler o gates equipe né que o refis continuei o coordenador de 15 e o sr e tem um dinheiro de confiabilidade e aí abaixo disso time desenvolvimento e dividir operações e a dentro desse papéis eu fiz um paralelo aqui mais ou menos com a isquilo dele né para que habilidade equivalem a 1 service master service mata ele é que valeria um equivalente não tô dizendo que é exatamente igual tá equivalente a em termos de habilidade então aqui perto de soluções o processo mas ele já está mais ligado a um arquiteto corporativo por quê porque observa-se massa ele tem que entender o negócio as áreas de negócio conversar pegar patrocínio e tal então o service master olhando pela descrição assim ele bate mais um perfil aí de tarde solução já o processo mas tem mais perto por partiu já o deve-se dinheiro eu posso pegar um arquiteto engenheiro de infra é o quê porque o engenheiro devo pessoal tá achando que o cara engenheiro deve automatiza o ambiente em infraestrutura veja era vamos lá volta e ele pode aprovisionar o a questão de contêiner de para como código e tá ok mas nesse caso aqui a infraestrutura que ele tá preocupado é a tua esteira do continuous integration do continuous delivery e o contínuos da polly ou seja ele tá preocupado em colocar essas ferramentas na esteira lugar elas para cacto esteira certinho e ele não necessariamente está preocupado com a infraestrutura ensino no sentido de isso é grega rede de dns ele tá preocupado em segredo ambiente né de desenvolvimento e homologação mas ele não tá olhando para produção por exemplo quem vai ficar olhando para a produção é o sr nesse nesse pode pedir para ele vai tá ok mas olhando um dinheiro de confiabilidade ele vai atualizar produção esse dinheiro leva que ele tá olhando desenvolvimento e homologação aqui é chefe não sei como é que você tá na empresa chamada temos carnes page vim pagar uma chama de um jeito aos seus ambientes mas enfim ele não tá olhando para o ambiente de produção ele tá olhando para essas ferramentas e vão compor o teu pacote aqui atrás como elas integram o ambiente aprovisionado como ele mantém a infraestrutura desse ambiente aí depois ele tem um passo aqui de integrar um esse aqui e para o que vai para a produção que aí passa pelo coordenador de release aqui ele e está tudo ok para passar para produção que aí vai para o time de operações e aí o time de operações aqui a gente vê né tem bebê a em análise de segurança neste mundo planeta acha de enfeite suporte enquanto o time desenvolvimento eu tenho aqui até te dava não sei que negócio desenvolvedor né e peste design né a nossa segurança também enfim veja tenho dois times embaixo ainda disse né desenvolvimento e operações funções distintas bom então se a gente quer fazer um negócio direito não adianta você só ter deve que a e depois dizer que o negócio não funciona ea culpa é do que a e aos princípios netflix vai design a intenção de minimizar a superfície de ataque estabelecer padrões o princípio do menor privilégio da defesa em profundidade malhar com segurança essa parte aqui nossa senhora não confio no serviço separação deveres e que tá a segurança por obscuridade mantém a segurança simples e correcção dos problemas de segurança maneira correta cara quando você monta o seu ciclo de desenvolvimento você coloca as pazes e definir os papéis responsabilidades e começa a ir tratando esses princípios aqui por como é que o mínimo ea superfície de área de ataque a segreguei meus ambientes e evitar exposições desnecessárias eu sei lá eu organizei uma parte dos dados eu restringe o acesso só a quem deve ter acesso peguei o menor privilégio aqui eu estabeleci um padrão de desenvolvimento a de curry quest de quem tem que aprovar o que tem que ser levado em consideração para aprovação ou não na minha gestão de a ver com isso eu já fui colocando a defesa em profundidade cada camada cada etapa do meu ciclo vou tendo aqui requisitos e controles de segurança para ir minimizando a quantidade que faz que podem ir para uma próxima etapa para quê para eu chegar se eu tiver que falar para eu falar com segurança é o que o que é eu já comecei a aplicar peixe o que não confio no serviço e separação de deveres quando eu cheguei os ambientes quando eu definir os papéis e responsabilidades quando na minha gestão the building da minha gestão de configuração eu checo tudo a segurança checa tudo não existe essa história de ar eu pego do repositório direto lá fora na internet o baixo na hora para buildar não esquece é né a gente já viu acontecer aí com o pessoal do morro de gps em 2018 escola ele pega ar direto no repositório beblue ele mandou aplicação para o chão depois porque é bill do com uma lágrima biblioteca aí que foi usar para ouvir uma comprometimento dessa biblioteca ele é só função e aí acabaram baixando um componente do nord é irritado para aplicação e aí com isso derrubaram várias aplicações no brasil foram poucas foram mais fora do brasil mas o brasil também foi atingido suem acho que setembro de 2018 se não me engano bom então beija eu não confio no serviço e isso é para os deveres e ele passa segurança por obscuridade nessa justamente a questão se colocou em várias camadas e não só só o acesso ao código área sótão seguro se você só pode não você fez o black box white box superbox não se colocou distribuiu aí em várias camadas é mantém a segurança simples aí é para aquela questão que combina usabilidade né e tornar ela sensível porque nós vamos fazer a segurança uma coisa que não vai ser tangível acessível para as pessoas ea correção dos problemas de segurança de maneira correta né ele tava os loka áudio aí da vida gangue o cara da humor cabral aí assim ó tá funcionando pode ver uma produção tá funcionando e aí depois volta um banho de pior um às vezes até um casamento e é para você vai design que a questão de produtividade na reatividade né a questão de eu vou pensar não a minha aplicação de desenvolvi se vazar você vai lá vazou não era vai vazar o que tá vazando legível tá vazando criptografado tá sabe aí entra lá na questão do palhaço com segurança entra na questão de eu não vou agir depois que já deu ruim já vou pensar nisso eu já vou embarcar privacidade no meu design já vou marcar aqui na segurança fim-a-fim bom né é soluções alternativas google gambiarra bugo e a galera agora é isso boca raça é a privacidade não tem marcada design e dizer quando ela fala que de segurança tinha assim ela já chamou aparece beleza e chamou-se que utilizar e ele tá falando da segurança do início ao fim a respeito pela privacidade do usuário privacidade como configuração padrão ou seja no momento em que eu vou liberar uma nova funcionalidade no produto novo serviço as configurações mais altas de privacidade devem estar habilitados não é para deixar tudo público não é para deixar tudo privado e usuário dono titulado dado vai lá movendo no aplicativo que está isso eu quero compartilhar e isso é público isso eu compartilho celular tudo meus amigos o amigo já mesmo e é por padrão tem que ser só para o usuário funcionalidade completa né não pode ser aquela história de ou você tem privacidade o funciona tem que ser as duas coisas visibilidade e transparência por quê que o que é a precisa entender desses princípios para quando você tá testando como é que tá a usabilidade você consegue entender a sequência de atividades que você faz o tang ele está executando de uma forma que o usuário vai entender ao final que ele conseguiu alcançar o objetivo dele ele cumpriu a atividade dele ali executando aquela sequência de ações na aplicação e ele vai entender que ele não pode compartilhar a senha né ele vai entender o porquê da complexidade da senha é do duplo fator de autenticação e sempre tão é o que a tem que começar a pensar nisso que forma que ele modela por igual um pouquinho pra segurança né eu sei que eu não for mais segurança mas só o meu teste aqui eu posso verificar minimamente a privacidade do usuário aqui na funcionalidade então essa é uma opção e aí aqui é a questão do curso da falha né pela regra de mayer leve multiplica por 10 em promoção quer dizer se você descobre a falha no momento de análise e especificação de construção onde até de peste ele já começa a régua já começa a subir mas quando você chega na produção o custo para descobrir corrigir essa falha é muito maior quando você olha aqui por exemplo mudar o aço ele diz assim olha olha o nível de risco e o tempo quer dizer a uma falha de segurança eles coberta no tempo aqui a falha de segurança é publicada a falha de segurança é conhecida pelo veneno óleo e o tempo correndo aqui e o risco só aumentando a falha de segurança é conhecida pelo vendedor o vendedor notifica os clientes sobre a forma segura algumas besta né sempre tipo recall olha pessoal sabe aquela versão 1.2.3 ponto tá então deus o cuidado com ela não usei ela aí você que as ferramentas de segurança são atualizadas né novos modos natal aí olha quando o pet é publicado olha o tempo para o pet até o pé de ser publicado da hora que a vulnerabilidade é descoberta até um pede ser publicado e o nível de risco o risco só começa a cair depois da publicação do pede porque a existência do pet vai ser não é assim o fabricante publicou pet todo mundo ficou não as pessoas levam muito tempo até saber que o fabricante da até daqui a na tela vai são que que ele tá usando aquela versão do fabricante que liberou pet olha lá até isso acontecer às vezes leva meses para o cara ficar um tédio eu ia arrumar habilidade falar porque ele tá usando a aplicação do fabricante com uma câmera mulher desconhecida e oi e aí até o pet está instalado nem todos os sistemas afetados olha o tempo que corre e dizer é só quando todos os sistemas afetados que o pé está instalado que o risco o pai olha o tempo que isso leva então esse tempo é um tempo de disposição para empresa tão custo disso é muito ao imagina se você tá falando por exemplo de um sistema o meu gente falou aí de dar banho e caiu a lembro quantos aviões agora se você tá falando nenhum sistema de banco se você tá falando de um sistema de seu a bolsa de valores olha o tempo olha o risco o cara simplesmente determinado caso ele pode simplesmente assim cara desligue esse sistema a gente vai ficar sem até corrigir e o ovo mudar de fornecedor um é um assim é importante a a questão de você pensar não seguinte vai design aplicar isso no seu ciclo de vida levar toda essa questão consideração o que um tempo da janela de daí é crítica ao acho que fala de alguns princípios de teste né ela disse que a segurança é é um processo não produto não existe vale prata é para você pensar estrategicamente e não tardes amigos ela deve estar integrando segurança em cada fase que o que eu falei o ciclo de vida ou seja a defesa em profundidade ali é peste precoce tá travando a tela mas vocês me ouvirem o ou vocês não me ouvem o pessoal que está na eu tô olhando o site está olhando eu tô vendo que tem um delay zinho aí na tela oi e a questão de uso código-fonte sempre que disponível né questão de sati da haste nesse caso e acho também que a gente já tem estamos de verificação é dos códigos de infraestrutura da empresa cultura gusta x disso então pense sempre assim documente os resultados dos testes se desenvolva métricas e não pense só em a beleza executei todos os testes não cara guarda suíte de teste guardados que eu te peço gera relatórios de peste isso faz parte e do processo como é como é que você vai garantir a qualidade depois né ai eu sei que o texto é a 10 evidência oi natali isso é importante aí e aí entra a questão dos o hospital tem né aliás tem uns 10 riscos pediu sua mente injeção quero de autenticação de exposição de dados sensíveis exposição externa quebra de controle de acesso falta de configuração de segurança e pro site scripting de circulação segura correntes combinar habilidades conhecidas e monitoração igual jesus e e esses são os riscos mais comuns né e aí a oposição ela tem ativo 10 ataques mais comuns do mundo real e z ao a se faz a lição de casa na episódios 10 riscos maiores de qualquer aplicação é são esses aqui existem outros padre mas aí ela ela agrupou porque os 10 mais beleza e os dez ataques mais comuns um referência direta objetos navegação importada injeção ataque de base no injeção espumando abusa de funcionalidade técnicas de evasão cross site script falta de configuração que 17 a chover aqui a meu ver se ele dá um flash aqui para parar de travar oi oi eu vou ver se agora ele atualizou a tela não dá não e ainda não atualizou a tela e o homem até ela tá ok o sinal diz que tá a good eu mandei um e ainda tá travado para o youtube ele não está aparecendo como travado eu só vou tentar ir a saída urgente e entrar de novo para ver se vai oi alessandra pode continuar pode continuar deu ah tá então beleza e a bom aí vai eu vou as copinho web né eu tô mostrando 2007 eu 2013/2017 teve algumas mudanças aí né e neide ou o o a4 a7 virou o brooklyn antes né a quebra de controle de acesso aí é um jackson continuou bloquear authentication continuou a vocês tive data esponja ver entrou aqui aí ele pegou os 47 virou 5 né o a versão do xml externo foi um foi unificado aí foi novo a questão de falta de configuração de de dividir segurança continuou né só subiu aí um pouquinho a engraçado que o eject não sai do primeiro né o outros caíram de posição aí ou que subiram de posição mas o jection último lá é a questão a ligação segura entrou aí né questão de monitoramento de logo insuficiente também entrou para você percebe que algumas coisas mudaram né e os rsf aí é para o site do quarto fogueira e aí você vai olhar aqui ele não tá mais mas ele está incorporado de certa forma é em outras coisas né como você pode encontrar um pouco dele aí na questão do xss ou da falta de configuração de segurança outra questão de terceirização de segura então eles entenderam que o csrf foi isso que substituído aqui não tem algumas coisas que continuaram né o uso de componentes combinar habilidades conhecida também permaneceu e dizer quando você olha para isso você fica e as pessoas continuam fazendo software é com usando não seguimos os princípios básicos lá por não confio no serviço quer dizer eu tô usando o componente como uma habilidade conhecida e uma inspeção ele eu continuo as pessoas na grelha continuam fazendo uma gestão de configuração adequada mas gestão de dependências adequada e aí nessa hora você vê que o deve ser aqui ó fiz falha a e a outra questão aqui é o em mobile né a gente tem o 2014 e 2016 acho que o eu vi o cabelo falando aqui algumas coisas que mudaram em relação a isso né estão aqui antes você tinha controle fraco lado terminou agora eu uso inadequado da boca forma armazenamento seguro de dados não tem comunicação e segura ele mudar algumas coisas aqui né tratamento inadequado da sessão decisões segurança através de entradas não confiáveis e dizer algumas coisas mudaram alteração de pode engenharia reversa é funcionalidade estranha né expondo a falta de proteção binário você vê aqui para mobile tem uma série de coisas aqui que você pode ajudar como que é a para fazer como você tá fazendo automação de peste lá autenticação e segura pois você pode ver esse cara tá usando senha fraca se método que ele tá chamando tá indo exposto não está encriptado se ela será gripar e não é melhores é aquele que não da engenharia reversa de inspecionar o pacote vê se você consegue adulterar e o dar de novo e vou ter uma série de coisas aqui que você não precisa de fato se a analista de segurança para fazer você pode ele pensa pô cara eu vou pegar um negócio aqui o uso inadequado da boca forma comunicação e segurou o celular vou pegar comunicação e identificação e segurar eu acho que isso aqui eu consigo colocar lá no meu testes e já ajuda né já já tá uma dar uma melhorada nas habilidades aqui eu limpei ir não é questão de quebra de autorização eu ouvi na terça-feira o ensinando ele tava falando sobre a questão do washington tem a pele né do capítulo de bh explicando lá sobrou tem ipi é o tô testando viajar já fui que a por isso que eu falo então a sei lá que que eu tô testando apoio tô deixando querido pensando no bairro isso não é cara tenta aí vê se o que que você consegue fazer aqui ou atribuição em massa ou eu vou ver falta de recursos e limite de baixo vou meter peloso aqui vou aumentar o pênis hoje voltar você consegue ali como que é a melhorar teus pés us né já colocar é um incluir esses copinhos ali na modelagem dos teus cenário vapor fazer um fuzil aqui vou injetar mais coisa aqui na chamada da p i o vô vou lá chamar um botão um taylor gigante aqui mandar ver se vai quebrar vai estourar alguma coisa ou é o meu usuário eu só eu só tenho que consultar e vou tentar inserir né fazer a questão de quebra de de autenticação aqui nível aí esse objeto aqui é só consulta mas eu tentar inserir então você consegue misturar aqui a produção em mar quebra de organização a nível de função falta de recursos injeção gerenciamento de próprio de ativos monitoração igual esquecer essa que esse mamãe parece um lado o suficiente é fácil né a galera só tem assim ele o 400 o erro 500 erros e 200 você 200 a 500 caiu servidor alguém junto por favor olá pessoal tem problema sério para tratar erro de ap sendo que você tem lá família 200 zezinho ser 12 sempre acho que a pernas novos e velhos uma coisa assim aí você tem uma família 300 família 400 para chegar na família e daí foi só sabe dizer internal server error 500 para não bota lá um de uma neve prestes ele não bota lá um médico às vezes a gente encontra também tem uns bad girls foi bem engraçado behringer outra coisa que o que a pode ajudar justamente esse retorno do erro né da p o cara melhor esse retornando erro aqui esse retorno vai vir para aplicação ou vai vir para o usuário se pouquinho para o usuário você tem que fazer um retorno mais amigável bom então isso aqui ajuda aqui é o top de haiti não é tenho de 2014 e os de 2018 aqui é o dia eu não sei se é algo que haja trabalha com a riot mas é uma coisa interessante de olhar nerds esse povo quero melhorar minhas habilidades o que que vai ter aí pela frente para eu testar o evolução minha como quality assurance além de sistema web além do sistema mobile além de apê isso aí já tá ela já tá velha né já faz isso com tempo tempinho de novo aí eu tica e o que que interessa para eu tirar senha fraca radio-code serviço de rede insegura que o sistema de interface insegura falta de atualização de segurança dispositivo de uso de componentes externos seguro proteção de privacidade insuficiente armazenamento e transferência de dados em segura falta de gestão dispositivo configuração padrão e segura falta de rhayner físico o o cara falta de raio muito físico você tá me testando normalmente dão device para testar dá uma olhada nisso configuração e segura falta de configuração de segurança que dizer se você está olhando para os princípios lá e seguinte vai design você consegue matar esses riscos aqui essas é essa segunda habilidades mais conhecidas aqui falo quando você pega lá que ele precisa o peraí se eu fiz isso aqui nessa eu disse eu não confiei no serviço a distribuir eu coloquei um padrão para autenticação mais forte para você consegue matando esses riscos aqui essas habilidades há pelo menos diminuindo elas né a gente sabe que também 100% segurou não existe mas você consegue me minimizar esse mitigar isso né esse é o outro é um de cloud né o hospital tem cole aqui é quem trabalha com isso né com essa questão de ambientes principalmente a questão de yast aí apesar de que não mente que vai trabalhar com linhaça é tem usar a lista de segurança mas como que acha pode dar uma ajudinha aí começa a olhar para esse só tem riscos para cláudia prestação de contas e risco de dados dentro da identidade de dados gerada em cima de conformidade legal de continuidade né às vezes os caras bota no serviços assim ó eu tô na nossa neta no microsoft no google fim e aí a eu me lembro de uma coisa que aconteceu muito engraçada com a microsoft que a microsoft é por acaso todo serviço dela dia de estava numa única região aí depois disso ela aprender a fazer já redundância caiu todo mundo seo as coisas e conseguir entrar para falando para para acertar também por acaso põe 2018 são miguel é sim e eles tiveram outro problema com o ms a né porque eu tive um cliente que quando a gente faz quando eu falei assim olha a gente vai ativar o msn da microsoft para melhor assim como quem ou não porque não não que a gente teve um problema qualquer coisa se tornar um palmo eles aprenderam eles aprenderam a parte de resolver aquele distribuíram no serviço não tá mais com uma sonda só se cair você tem a resiliência do serviço eu me isso acontece muito com aplicação já as em projetos aí que quando você olha você tá batendo lá no isso eu achei e aí o cara disse não mas tem backup tá mesmo assumir direto não aí tem que parar tem que adicionar às vezes você consegue testar e ver para onde está indo a chamada e ou de onde está sendo devolvido a chamada você consegue ver se ele tá se o balão tá funcionando ele tem over é a privacidade do usuário né a questão de integração de dados serviços segurança física e de a análise forense de excelente segurança de empresa cultura e exposição de ambientes não produtivos isso aqui é a galera que volta show não pega muito né e qual é a qual é o grande problema hoje dessa exposição de ambiente não pouco tiver fez a primeira coisa que diz quando os olhos não mas era meio ambiente desenvolvimento mas só que acontece na vem desenvolvimento pessoal mesmo preguiçosa assim vai lá o pia a base de dados de produção e joga em breve ol fabi assim então olha o tamanho do mundo o ambiente era desenvolvimento mas a base veio quente então são coisas que vão ter que começar aprender por causa das leis e o que é a linha sabe ele pega lá um script zinho rodam escrito e joga gera uma massa de teste via bebê muito ouvir as críticas que ele mesmo criou eu me lembro que eu fiz usavam para popular é uma questão big dele tá lá que eu tinha que prestar eu geralmente escrito em java lá sem vergonha eu precisava de algumas informações ao criar um script zinho o dava ele gerava massa você se vê que eu precisava eu não precisava de uma cópia de dados pênis eu precisava de dados válidos de dados vários dos no seguinte sentido ele tinha que ter a quantidade mínima e máxima de caracteres para compor o que aquele campo permitir então já essa massa pessoas têm mais dificuldade com isso agora conversando por isso a gente porque senão da lei a mas tem que ter uma mudada quente nós vamos fazer de lado quente para você tem que ter um lado validacpf beleza gera uma massa de cpf de dentro dos parâmetros e você tava ligando o campo seja o cpf não pode ser um um dois três quatro cinco seis sete oito nove dez onze não pode ser essa semana chegando isso faz uma expressão religiosa que só isso é vai já era uma massa entendeu então assim como que é a você pode ajudar bastante você pode melhorar quando você olha para esses top 10 disco aqui você consegue dar um você estuda ele um pouquinho ali vai começa a desenvolvendo na sua modelagem a gente e cenário começa a estudar e requisições e fazer se consegue dar um ato ilegal na sua carreira aí porque a o que que eu acho que ele fala né sobre o estágio é de seguinte o problema de prestes efetivo ele deve ter um componente que fashion pessoas processos e tecnologia e a menos que uma abordagem holística seja dotado fechar apenas a implementação técnica de um aplicativo não revelará uma habilidade de gerenciamento ou operacionais que possam estar presentes as pessoas para garantir que a de educação e conscientização processo para segurar tiago políticas e padrões adequados tecnologia para garantir que o processo tenha sido eficaz em sua implementação então quando você tá falando de e levar em consideração que ao hóspede fala de pé se você tem que pensar nisso aqui você vai melhorar suas habilidades né com que a pouco eu vou fazer mais o aprender sobre análise estática de código sobre análise dinâmica de código eu vou aprender esse aqui eu acho o mais interessante né ah ah dimensões que podem gente fala disciplina de teste na confiança funcionalidade reforma e aí o processo de peste envolve o que nós construímos o sistema corretamente né da maneira correta e validação que a vale da verifiquei agora eu vou validar nós construímos do sistema correta ou seja eu fiz o sistema que o cliente queria que eu fizesse eu fiz o sistema que eu achei que o cliente queria avisar é da maneira que eu achei que era correta então eu tenho a verificação e validação quando a gente inclui a segurança nesse processo a gente tem uma outra verificação em uma outra validação quer dizer é nós construímos o sistema pensando nossa segurança e é uma verificação nós validamos a segurança construída para o sistema é a validação então a partir do momento que você entende todo o conceito de segurança de cyber de qualidade cláudio desses riscos de segurança você consegue adicionar uma camada mais aí do processo de segurança e nas suas habilidades aí para entregar um produto de melhor qualidade o fizemos o analista de segurança mas dentro da minhas habilidades eu consegui verificar alguns cenário cobrir alguns cenários aqui de vulnerabilidades ou as que são os maiores riscos identificados hoje a questão da modelagem de ameaça né aprendeu o processo de modelagem de ameaça eu não vou batalhar esse aqui vai ficar material vai ser eu subo normalmente esse material no facebook no linkedin depois estão dela das vantagens e desvantagens né de melhorar as habilidades aí para você modelagem de ameaça a questão de divisão pode fonte né análise estatística aí a alguns prós e contras a questão de revisão e inspeção manual né que a gente faz no início no fim como é que é flexível é interessante as inspeções manuais a revisão de humanas que normalmente testam implicações de segurança de pessoas políticas e processos então essa é uma parte interessante são habilidades que você pode ir melhorando né técnicas ferramentas e teste que o que é a pode utilizar fuzzy utilizando o post uma caixa frias que a gente certinho pés e são um quarto o xss injection com um chamativo expoentes da vasp em mais uma lace que eu uso que eu esqueci agora o nome whatsapp whatsapp você consegue fazer também alguns testes e você não precisa ser analista de testes alguns testes ali você consegue fazer lendo las categorias espécies lennon um pouco sobre modelagem de ameaças doce comprei pegar dá o tablet lá da valve executar alguns testes de segurança dessa categoria a proteína é teste acesse o aplicativo né de detalhado de todas as funções prestador deve criar várias contas de usuário com funções diferentes em múltiplos verificado autenticação e autorização questão de gestão de acesso identidade e o controle de acesso de verificação de proteção de dados festa do deve verificar com a informação está sendo transmitido entre o cliente eo servidor que ela não é exibida na barra de mim e aí o desenvolvimento seguro para o as coloca-la 13 categorias no total você tem 214 pontos de checagem aí para uma análise estática de cole né a as habilidades e métricas aí tem algumas habilidades numéricas aqui controla o histórico de falhas nos relatórios citados histograma de palha controle de mudança de voz relatório de falhas pode mudanças isso aqui são algumas habilidades que o que é a pode melhorar e alguns controles algumas métricas baseadas no quando ele começa a dissolver os conceitos de os princípios de balizar a gente vai de pou de o ácido de riscos conforme o conceito questão dos testes de segurança na aquisição das ameaças que eu falei do hi box black box whitebox né é importante que eu coloco sempre é o especialista de segurança não é o analista ele faz eu disse algumas é tarefa da atividade específica né monitória conhecimento de auditoria manda lá ensinar e a mestra fecha nacionalidade a função dele é uma do que a outra e o que é a pode fazer aprender algumas coisas alguns desses totem sair inserindo os cenários que ele tá automatizando eu queria estar executando de forma manual para no final ele ter métricas para agregar nos relatório dele e colaborar um trabalho do analista de segurança não você vai ter duas camadas aí é olhando para segurança não só o analista de segurança at eu desenvolvedor lá olhando vai ter o que a olhando então se ele melhora isso aqui o papel do que a né como eu falei o quê ah não é analista de segurança é mas pode ser capacitado colaborar com a segurança oi e a questão de a diferença de análise maravilha idade tem teste as pessoas que acham que a mesma coisa mas não é a mesma coisa tá e as referências e é bom pessoal eu acredito que era isso acho que eu já estourei meu tempo se não me falhe a memória se alguém tiver alguma pergunta e pode ficar à vontade aí as referências utilizadas alguma coisa que eu pego aí do dar uma os livros material da vasp e é da iso do que eu tenho mexido aí para untar suas apresentações
Parabéns pela live.
Ficou excelente.