SecCI - Security in Continuous Integration
-
Upload
concrete-solutions -
Category
Technology
-
view
257 -
download
5
Transcript of SecCI - Security in Continuous Integration
Desenvolvemos produtos digitais
SecCISecurity in Continuous Integration
Continuous Integration
Bugs são percebidos e eliminados mais rapidamente
Continuous Integration
A produtividade do time aumenta (sem super-heróis)
Continuous Integration
Há total transparência no processo, que é automatizado
Continuous ValidationNesta etapa garantimos que o
código faz exatamente o que foi especificado para fazer, e funciona.
Testes automatizados percorrem as opções do aplicativo, quebrando o
job em caso de problemas.Parece mágica!
Continuous ValidationNesta etapa garantimos que o
código faz exatamente o que foi especificado para fazer, e funciona.
Testes automatizados percorrem as opções do aplicativo, quebrando o
job em caso de problemas.Parece mágica!
Continuous Delivery / Deployment
Jenkins
There is nothing you cannot do. Seriously.
=
Demo● Subir um servidor de CI que
construa o código de uma aplicação em um repositório e coloque o app para funcionar, verificando se ela está mesmo no ar.
● Navegar manualmente pela aplicação, mostrando seu comportamento.
*Obs: repositório com os fontes no final da apresentação
Segurança
“Quanto eu quero realmente hackear esta aplicação? Se eu quiser muito, eu
certamente vou entrar, não importa o método. O único requisito é ter maldade
suficiente no coração.”
-- AX (um hacker do coração peludo)
Bahhhh! Sensacionalismo.Coisa de filme.
Isso non ecziste!
Imagine...
Se sua aplicação pudesse nascer segura? (ou pelo menos com um alto grau de segurança)
Se os problemas de segurança fossem corrigidos a cada build?
Se você tivesse relatórios das falhas e da qualidade de segurança do seu código para mostrar aos clientes?
“Ah, mas para isso eu precisaria ter testes de segurança a cada build, igual
eu faço no CI...”
ISSO! Eureka! Security in Continuous Integration!
Demo
*Obs: repositório com os fontes no final da apresentação
● Jobs no Jenkins utilizando ferramentas para mitigar riscos em SI
● Relatórios com estatísticas de SI, mostrando falhas e pontos de atenção
FerramentasAmbiente:● Linux● Ruby● Sinatra● VirtualBox● Docker● Jenkins
Segurança:● OpenVAS● NMAP● Nikto● THC-Hydra● John● Metasploit● ...
Dúvidas? Críticas? Sugestões?
Obrigado!Contato: [email protected]
Mais informações:http://blog.concretesolutions.com.br
Mais algumas ferramentas:http://sectools.org/
Código:https://github.com/wesleyit/talks/cs-secci
concretesolutions
Rio de JaneiroRua São José, 90 Sala: 2121Centro, Rio de JaneiroCEP: 20010-020Tel.: +55 21 2240-2030
São PauloRua Sansão Alves dos Santos, 433
4º andar - Brooklin, São PauloCEP: 04565-001
Tel.: +55 11 4119-0449
blog.concretesolutions.com.brwww.concretesolutions.com.br