Continuous Security in DevOps

Testowanie bezpieczeństwa aplikacji zazwyczaj kojarzy nam się z pentestami w wydaniu black/white box. Standardowe podejście do realizowania tematów bezpieczeństwa w firmach bez wdrożonego Continuous Delivery polega na szkoleniu kadr (programistów), uruchamiania (zamawiania) pentestów w fazach stabilizacji kodu (końcowe iteracje przed deploymentem) i naprawianiu znalezionych podatności. Sprawy mają się trochę inaczej w firmach, które wypuszczają wiele zmian każdego dnia (tu często znajdziemy więcej miejsca i zrozumienia dla zwinnych zespołów bezpieczeństwa).


Jednak w czasach, gdy programiści żyją blisko wraz z administratorami tworząc wspólny byt zwany DevOps podejście do kwestii bezpieczeńśtwa aplikacji można bardzo mocno zmienić. A co gdyby do procesu Continuous Integration, na który składa się wiele rodzajów testów (unit, smoke, performance) dodać jeszcze automatyczne testy bezpieczeństwa? A co gdyby ktoś Wam powiedział, że ""Automate all the things"" oznacza, iż można ""penetrować"" nie tylko z Backtracka / Kali'ego ale też z Ansible'a do pary z Jenkinsem, Owasp ZAPem, Metasploitem, JBehave, Selenium, Skipfishem i masą innych? A gdyby tak w skład Devopsów wchodziła część SecOps, której to zadaniem byłoby utrzymanie takiej gałęzi automatycznych testów bezpieczeństwa i analizy wyników? Z czego takie testy powinny się składać i jak je poukładać?


Jako lider zespołu Devopsów wiele razy spotkałem się z problemem sporej liczby podatności wykrytej poprzez pentesty, które potem trzeba w krótkim czasie załatać w tempie ""na zapalenie płuc"". Stąd też zrodził się jakiś czas temu pomysł, aby kompletnie zmienić podejście i odwrócić kota ogonem - zmieniamy podejście reaktywne (naprawiamy to co wykryły końcowe pentesty) na bardziej proaktywne (weryfikujemy bezpieczeństwo na bieżąco i poprawiamy w czasie rzeczywistym - w końcu część SecOps też może zmienić konfigurację serwerów w Ansiblowych YAMLach zamykając niestosowne porty na firewallu czy zmieniając delikatnie politykę SELinuksa).

Język prezentacji: Polski

Prowadzący

Partnerzy

Partner Ścieżki
Partner Ścieżki
Partner Ścieżki
Wystawca
Wystawca
Wystawca
Wystawca
sponsor Game zone
Partner Strefy Regeneracji
Partner
Partner
Partner