DevSecOps
Temario
INTRODUCCIÓN
- Casos reales de vulnerabilidades y su impacto
- Problemática de las aplicaciones inseguras
- Derribando mitos
- Participación de Seguridad Informática en el desarrollo de software
- Prácticas inseguras
- Manejo de contraseña
- Apps de mensajería para compartir recursos
- Compartir código en plataformas de desarrollo (stackoverflow, github, etc.)
SEGURIDAD EN EL DISEÑO
- Principio del menor privilegio
- Criterio de defensa en profundidad
- Criterio de “Fallo Seguro”
- Diseño de protección contra Denial of Service (DoS)
- Errores de Lógica de negocio
SEGURIDAD EN LA CODIFICACIÓN
- Vulnerabilidades del Top Ten OWASP
- A1: Injection
- A2: Broken Authentication
- A3: Sensitive Data Exposure
- A4: XML External Entities (XXE)
- A5: Broken Access Control
- A6: Security Misconfiguration
- A7: Cross-Site Scripting (XSS)
- A8: Insecure Deserialization
- A9: Using Components With Known Vulnerabilities
- A10: Insufficient Logging & monitoring
- Otras vulnerabilidades
- Errores de Canonicalización
- CSRF
- Information disclosure
FACTORES CLAVE PARA EL ÉXITO DE DEVSECOPS
- SAST Tunning ineficiente & falsos positivos
- Falta de coordinación entre los desarrolladores del equipo de seguridad de la información
- Casos de despliegue continuo
- Pentesting manual se convierte en cuello de botella
- Poca visibilidad del historial de seguridad
- Falta de soporte en la nube
- Sistemas que no son escalables
SEGURIDAD EN LA ETAPA DE IMPLEMENTACIÓN
- DevSecOps
- Security misconfigurations
- Separación de ambientes
- Marco documental
- Firma de código
SEGURIDAD EN REDES
- Análisis de tráfico y escaneo de puertos
- Firewalls y redes privdas virtuales
- Infraestructura de clave pública y GPG
- Sistemas de prevensión de intrusos (IPS)
- ARP Poisoning. DHCP Spoofing y DNS Poisoning
Marcas
