Princípios e Boas Práticas sobre Desenvolvimento Seguro
"As falhas de segurança de software podem ser introduzidas em qualquer fase do ciclo dedesenvolvimento, inclusive:
- No início, ao não identificar as necessidades de segurança;
- Na criação de arquiteturas conceituais que possuam erros de lógica;
- No uso de más práticas de programação que introduzam vulnerabilidades técnicas;
- Na implementação do software de modo inapropriado;
- Na inserção de falhas durante a manutenção ou a atualização."
- OWASP Secure Coding Practices Quick Reference Guide
👉 Comece por aqui:
- O que é Desenvolvimento Seguro?
- Porque Desenvolvimento Seguro?
- Quais os pilares do Desenvolvimento Seguro?
- Por onde começar?
- Shift Left
🔵 Planejamento
🟢 Design
🟠 Desenvolvimento/Implementação
- Melhores práticas
- Code Review
- Checklists
🔴 Testes
- SCA
- SAST
- DAST
- IAST
- Pentest
🟡 Deploy
- Validação dos pontos de Segurança
- Testes automatizados
⚫ Manutenção e evolução
- Monitoramento
- Melhorias na Esteira
- Gestão de Vulnerabilidades
- Security Champions
- Treinamentos de equipe
🗺️ Roadmap
🔗 Links Interessantes
- OWASP
- NIST 800-190 Application Container Security Risk Checklist
- NIST SSDF
📚 Livros
PT BR
ENG
- Cyberjutsu
- The Tangled Web
- Secure by Design
- Securing DevOps
- Web Application Security
- Secure and Resilient Software
- Building Secure and Reliable Systems
🧑🏫 Exercícios
- secDevLabs - Variados sistemas vulneráveis que você pode rodar localmente, encontrar as falhas no código e submeter a mitigação para a comunidade dar dicas e corrigir sua implementação, muito bom para treinar programação + segurança.
- OWASP JuiceShop - E-commerce vulneravel com mais de 80 desafios para você treinar quais são as OWASP Top 10 vulnerabilidades e aprender a explora-las de uma forma gameficada.
📺 Cursos
- UDEMY - Desenvolvimento Seguro de Software
- UDEMY - Desenvolvimento Seguro de Sotfware Avançado
- GoHacking - Secure Coding and DevSecOps
- Coursera - Secure Coding Pratices
- DesecSecurity - Introdução ao Pentest na prática
🏆 Security Champions
Textos
- How to build an effective Security Champions Program
- Security Champions Playbook
- How to Implement a Security Champions Program
Videos
- BlackHat - SDL at Scale: Growing Security Champions
- Conviso - A cultura do Security Champion em Application Security
📹 Vídeos
- Acadi-TI - Semana do Desenvolvimento Seguro
- DevSecOps Podcast - Por que Desenvolvimento Seguro?
- GoHacking - Desmistificando Desenvolvimento Seguro e DevSecOps
- Roadsec - OWASP
- Conviso - Owasp Top 10 2021, Priorização dos principais riscos e a segurança no design
📃 Artigos
🖥️ Linguagens
- Golang
- Go
- .NET
- Javascript