Princípios e Boas Práticas sobre Desenvolvimento Seguro

"As falhas de segurança de software podem ser introduzidas em qualquer fase do ciclo dedesenvolvimento, inclusive:

• No início, ao não identificar as necessidades de segurança;
• Na criação de arquiteturas conceituais que possuam erros de lógica;
• No uso de más práticas de programação que introduzam vulnerabilidades técnicas;
• Na implementação do software de modo inapropriado;
• Na inserção de falhas durante a manutenção ou a atualização."

- OWASP Secure Coding Practices Quick Reference Guide

👉 Comece por aqui:

• O que é Desenvolvimento Seguro?
• Porque Desenvolvimento Seguro?
• Quais os pilares do Desenvolvimento Seguro?
• Por onde começar?
• Shift Left

🔵 Planejamento

• Threat Model
• GDPR e LGPD
• Requisitos de Segurança

🟢 Design

• Padronização
• Security-by-Design

🟠 Desenvolvimento/Implementação

• Melhores práticas
• Code Review
• Checklists

🔴 Testes

• SCA
• SAST
• DAST
• IAST
• Pentest

🟡 Deploy

• Validação dos pontos de Segurança
• Testes automatizados

⚫ Manutenção e evolução

• Monitoramento
• Melhorias na Esteira
• Gestão de Vulnerabilidades
• Security Champions
• Treinamentos de equipe

🗺️ Roadmap

🔗 Links Interessantes

• OWASP
• NIST 800-190 Application Container Security Risk Checklist
• NIST SSDF

📚 Livros

PT BR

• Segurança para Desenvolvedores Web
• Código Limpo
• Arquitetura Limpa
• Pentest em Aplicações Web

ENG

• Cyberjutsu
• The Tangled Web
• Secure by Design
• Securing DevOps
• Web Application Security
• Secure and Resilient Software
• Building Secure and Reliable Systems

🧑‍🏫 Exercícios

• secDevLabs - Variados sistemas vulneráveis que você pode rodar localmente, encontrar as falhas no código e submeter a mitigação para a comunidade dar dicas e corrigir sua implementação, muito bom para treinar programação + segurança.
• OWASP JuiceShop - E-commerce vulneravel com mais de 80 desafios para você treinar quais são as OWASP Top 10 vulnerabilidades e aprender a explora-las de uma forma gameficada.

📺 Cursos

• UDEMY - Desenvolvimento Seguro de Software
• UDEMY - Desenvolvimento Seguro de Sotfware Avançado
• GoHacking - Secure Coding and DevSecOps
• Coursera - Secure Coding Pratices
• DesecSecurity - Introdução ao Pentest na prática

🏆 Security Champions

Textos

• How to build an effective Security Champions Program
• Security Champions Playbook
• How to Implement a Security Champions Program

Videos

• BlackHat - SDL at Scale: Growing Security Champions
• Conviso - A cultura do Security Champion em Application Security

📹 Vídeos

• Acadi-TI - Semana do Desenvolvimento Seguro
• DevSecOps Podcast - Por que Desenvolvimento Seguro?
• GoHacking - Desmistificando Desenvolvimento Seguro e DevSecOps
• Roadsec - OWASP
• Conviso - Owasp Top 10 2021, Priorização dos principais riscos e a segurança no design

📃 Artigos

🖥️ Linguagens

• Golang
• Go
• .NET
• Javascript