Projetos OWASP que você deve saber! Código de segurança #029 | Cássio B. Pereira

Você sabia que o OWASP não é exclusivamente um projeto top 10? Você sabia que existem 197 projetos no momento e um é melhor que o outro?

00:10:09
Você sabia que o OWASP não é exclusivamente um projeto top 10? Você sabia que existem 197 projetos no momento e um é melhor que o outro?

e fala pessoal tudo bem com vocês caso queira falando sejam muito bem vindos a mais um código seguro no vídeo de hoje eu vou mostrar para vocês alguns projetos da VASP que você deveria conhecer né projeto que eu recomendo que você conheça né Que Você estude você deu uma pesquisada mais a fundo para tornar né Lógico seu código mais seguros aplicações mais seguras tá Como é o nosso objetivo aqui sempre beleza eu sou com as Pereira código seguro começa agora E aí [Música] Hoje eu tô aqui no site da USP Gente o que quisesse molhado eu acho que o outro hora que barra projeto né basicamente o site oficial né dá o as profundamente na lista de projeto ele tem aqui ó projeto for good é uma lista de projetos infinita cara com muita coisa bacana tá é o pagamento eu vou falar de um por um é o selecionei alguns aqui na em cima vocês podem ver para comentar um pouquinho é projeto que o juro aí mais mais valor no sentido mais rápido é para você começar a ver algumas coisas mas não Sinceramente a todos obviamente da lista tá então ele tem aqui ó é flash projetos leve para hoje em cobertor para hoje e alguns projetos que eles colocaram aqui que precisa de atualização no site tá a gente é muito projeto olha o tamanho dessa lista cada projeto um objetivo cada projeto tem um um bem né alguma coisa ali para para te guiar para te ajudar de alguma maneira eu selecionei alguns aqui em cima que são da 72 né o ácido effect dor praticamente uma ferramenta eu pensou isso aí para É verdade inclusive eu fiz um vídeo só disso né tá aqui em cima em algum lugar um link aí desse vídeo falando só do defect Dojo o ASP dependency-check né Lembra daquela história e fez um vídeo aqui elas falam sobre ex a né só frear composition analysis que é parte deve ser parte do seu sdlc deve ser parte do seu ciclo de desenvolvimento você faz análise de potecas terceiros né eu pensei ir cedo certa tá o o ASP dependency-check é uma ferramenta ou pessoas que faz exatamente para você para algumas linguagens a se eu não me engano ela tem não saiu de uma versão nos última versão mas ela tem uma uma alimentação a id.net é Java tá não é para todas as linguagens Mas Poxa já ajuda para caramba tá o hóspede just Shop não é basicamente é um site vulnerável um e-commerce invulnerável para você fazer testes etc etc ou se quiser sobre produção também né fica a seu critério aí o ASP mobile top tem né o Mobo top tem a lista Aí dos 10 maiores riscos de aplicações mobile a desde e isso vai ter outra versão não Essas duas últimas versões então tá bem atualizado inclusive tá o ASP Mobile Security testing guide né se olhar aqui ó é praticamente um documento msg lst-g que é uma desculpa gente Mobile Security test índia fala mais que eu só estou com Microsoft as ideias na cabeça aqui fazendo outras coisas bom então é isso tem tem esse projeto Bacana aqui que você deveria dar uma olhada ele tem um guia aí de como você desenvolver é mais seguro para mobile tá o as Piece a MM né o famoso sofre as chuvas net each Model é um guia cara muito bacana a com relação à maturidade de software e etc é muito bacana também o Astra tem RS a gente usa nem falar de novo mas eu sempre vou bater nessa tecla aqui eu acho que tem Inclusive tem uma série né tá aqui algum lugar o link da playlist exclusiva aqui do Canal aonde você vê o acima o top tem explicado cada episódio é cada detalhe uma série de 10 vídeos que eu fiz para vocês mas vale sempre o projeto top tem WhatsApp não é mais recentemente Eu fiz um vídeo falando do Zap proxy né como é que a gente usa mas a gente faz o teste automatizado o teste manual ali no a sua ferramenta open source é mais ou menos um bastão a ferramenta muito bacana também de você utilizar o ASP web Security testing guide nenhum basicamente como o nome já diz né um guia de teste de segurança é para web ou aspape ai Security Project Olha só Inclusive tem o top 10 2019 não é basicamente aqui do ASP ipiae muito bacana muito fazendo o bacana o projeto fantasia repente pode até uma série de vídeo sobre isso o ASP find Security Box Olha só cara o faz isso aqui notebooks é praticamente uma ferramenta de no dia de sátira não faz tudo que eu satisfaz mas ele faz boa parte da muita coisa então já ajuda muito aí na procura de ebooks do seu software e se eu não me engano ele tá exclusivo para Java e Android aqui ó já vem Android Tá mas poxa aí os botnets não vai servir Ok mas ele o lamenta buscar outras coisas mas é pense que são projetos comunitários projeto que uma comunidade eu acho que mundial está colaborando com a gente criando ferramentas de projeto para a gente utilizar tá então ver você ai não tem para todas as linguagens não tem cara você quer o produto linguagem compra uma ferramenta enterprise tá é a ideia o vídeo aqui é te mostrar projeto pensou esse cara aqui enquanto ajudar bastante aí no seu dia a dia tenho certeza tá o ácido proativo encontrou esse tema uma tá no meu dimep fazer uma série de dez vídeos né para falar do Azbox decorativo encontrou última versão 2018 basicamente uma lista que a de itens que você pode colocar proativamente né coisas que você começa a fazer praticamente para ter mais segurança no seu desenvolvimento dos seus produtos você só precisa tá o as the secret code nojo o ácido webgoat não é praticamente uma plataforma web aí completamente vulnerável né para você testar também então tem sofrer bacana pra gente vai lhe dar o as apps equipe Line esse nem vou nem contar detalhes desse Apenas veja Apenas veja só isso Oi Alex Lope sem detalhes Apenas veja isso é fantástico fantástico fantástico fantástico fantástico o asp.net top tem Olha isso cara que fantástica o as the doctor top tem olha isso que Fantástico é sempre tem depois de um projeto tão bacana que ela que eu acho tá fazendo que tem coisa que não vale a pena entrar no detalhe assim é cara o ASP do cartão que tem dá uma olhada na lista de vulnerabilidade do docker contribui ajuda vê que você já teve problemas vai lá e compartilha com a galera usa o dia deles né Então cara eu pensei um negócio Fantástico é fantástico de Harry Potter Project Harry Potter se você quer fazer parte de Florence investigação pesquisa entender como são alguns Attacks eu acho que serve laptop tem né serve está na onda e funções na Cláudia você paga por uma função né paga por por por recursos apenas uma aplicação completamente dependente de servidor já tem um top tem aí para eles né projeto que está sendo desenvolvido o ato que site Model cookbook Oi gente tem falado é bastante de modelagem de ameaças e traz o modo ali então o ar também tem um projeto é praticamente aí que ajuda você fazer modelagem de ameaça com guia né com gás e aí com a ajuda deles o ativo naquela semana de midgard né Já falei para vocês de gestão de unidade é fundamental Não adianta achar problemas e não fazer a gestão deles né a gente tem que garantir que eles são corrigidos ali e que tá tendo né um ciclo de vida constante bom gente projeto para caramba que eu listei aqui para vocês além de toda a lista completa que vocês encontrarem astro.org/hoje a enfim nenhuma inventário q897 projetos é quase 200 projetos a gente muita coisa cuidado que até para aumentar minha cara aqui ó cuidado PA o cuidado é para você não cair no golpe de ponta eu quero ver tudo e que ele planeta tudo e vou fazer tudo não você não vai fazer nada você vai pegar um desses Qual que é a sua dor hoje é olhar bibliotecas de terceiros Olha dependency-check a eu quero começar fazer Scan do código Olha o hospital que tem verdade o quê que pode ser para você um guia e usar alguma ferramenta aí eu quero uso já vou o seguinte banco vai dizer que eles banco já pode me ajudar o seu já tem tudo isso mas eu não tenho a gestão de vulnerabilidades efetiva olha lá o guia de gestão vulnerabilidade Então calma tranquilidade pega um projeto por vez uma outra coisa menos que você tem muito braço muito tinha mas ele a gente vai ter um programa de Cultura já adaptação e tal então pega um por vez olha uma coisa ora outra entende como tá a sua dor hoje E aí você vai conseguir ver e tudo isso numa integrado no jeito muito melhor tá então cara né colaboração para vocês hoje uma recomendação para vocês hoje é conheça um pouco mais da VASP não tem ao sol as pessoas que têm eu não faço parte do Astra não faço parte e não do grupo de nada eu apenas consumo ao ASP inclusive nunca colaborei deveria colaborar É tem bastante projeto bacana que eu consigo ajudar mas essa é a minha recomendação para vocês como especialista né Muito tempo no mercado eu acho que ajuda muito é apesar de ser alguns projetos open-source nos diz não abranger tudo que uma empresa precisa corporativa mas é um bom começo é um bom guia para você começar a fazer algumas coisas e lógico no caso das Ferramentas né mas vou como você falar no trajeto moda em cookbook lá por exemplo o cara que ele funciona para qualquer lugar diferente do dependency-check que vai estar limitado a algumas linguagens tecnologias Tá mas nada impede você contribua com o projeto desenvolva né isso em Então é isso na minha recomendação para você quiser tem uma olhada na lista do acidente o que eu mostrei aqui às vezes não sirva mas é algum outro na lista pode ser benéfico para você pode ser útil para você tá essa médico amanhã só para você hoje no código seguro de hoje chegando em dezembro a sexta-feira do ano né dezembr ou então tá acabando 2020 ainda em casa agora aqui em São Paulo tá na faixa é de paneme e tudo mais é eu espero que todo mundo esteja bem Eu sou Cássio Pereira código seguro de hoje fica por aqui e a gente se vê na semana que vem vá eu não não pede calma não vem aqui no canal não se inscreve no vai lá que nada só vai ver o vídeo de apresentação do application Security Xperia que vai rolar o mês que vem é o mês que vem já o ano que vem já tá aí já é o mês que vem dezembro ela é tão dezembro mês que vem em Janeiro dos 21 dia 20 21 e 22 vai rolar o queixo Secret sphere se Epa Valeu o E aí [Música]