utrzymanie bezpieczeństwa aplikacji produkcyjnych na przykłdach
TRANSCRIPT
![Page 1: Utrzymanie bezpieczeństwa aplikacji produkcyjnych na przykłdach](https://reader035.vdocuments.site/reader035/viewer/2022081604/587d23e81a28ab1c2f8b617f/html5/thumbnails/1.jpg)
Mateusz Olejarka
Utrzymanie bezpieczeństwa aplikacji produkcyjnych
na przykładach
![Page 2: Utrzymanie bezpieczeństwa aplikacji produkcyjnych na przykłdach](https://reader035.vdocuments.site/reader035/viewer/2022081604/587d23e81a28ab1c2f8b617f/html5/thumbnails/2.jpg)
O mnie
• Starszy specjalista ds. bezpieczeństwa IT, SecuRing
• Ocena bezpieczeństwa aplikacji webowych i mobilnych
• Trener• (Były) programista• OWASP Polska
![Page 3: Utrzymanie bezpieczeństwa aplikacji produkcyjnych na przykłdach](https://reader035.vdocuments.site/reader035/viewer/2022081604/587d23e81a28ab1c2f8b617f/html5/thumbnails/3.jpg)
Sonda
• Kto z Państwa pracuje z aplikacjami tworzonymi wewnętrznie?
• Kto z Państwa pracuje z aplikacjami zamawianymi?
![Page 4: Utrzymanie bezpieczeństwa aplikacji produkcyjnych na przykłdach](https://reader035.vdocuments.site/reader035/viewer/2022081604/587d23e81a28ab1c2f8b617f/html5/thumbnails/4.jpg)
Agenda
• Wprowadzenie• Typy aplikacji• Problemy• Rozwiązania • Q&A
![Page 5: Utrzymanie bezpieczeństwa aplikacji produkcyjnych na przykłdach](https://reader035.vdocuments.site/reader035/viewer/2022081604/587d23e81a28ab1c2f8b617f/html5/thumbnails/5.jpg)
WPROWADZENIE
![Page 6: Utrzymanie bezpieczeństwa aplikacji produkcyjnych na przykłdach](https://reader035.vdocuments.site/reader035/viewer/2022081604/587d23e81a28ab1c2f8b617f/html5/thumbnails/6.jpg)
Wprowadzenie
• Życie po Go Live• Perspektywy– Aplikacja tworzona wewnętrznie– Aplikacja tworzona na zamówienie
![Page 7: Utrzymanie bezpieczeństwa aplikacji produkcyjnych na przykłdach](https://reader035.vdocuments.site/reader035/viewer/2022081604/587d23e81a28ab1c2f8b617f/html5/thumbnails/7.jpg)
TYPY APLIKACJI
![Page 8: Utrzymanie bezpieczeństwa aplikacji produkcyjnych na przykłdach](https://reader035.vdocuments.site/reader035/viewer/2022081604/587d23e81a28ab1c2f8b617f/html5/thumbnails/8.jpg)
Typy aplikacji
• Podział ze względu na czas pomiędzy wydaniem/wdrożeniem kolejnej wersji:– Kwartał do roku (aplikacja A)– Dwa do czterech tygodni (aplikacja B)– Kilka godzin do kilku dni (aplikacja C)
![Page 9: Utrzymanie bezpieczeństwa aplikacji produkcyjnych na przykłdach](https://reader035.vdocuments.site/reader035/viewer/2022081604/587d23e81a28ab1c2f8b617f/html5/thumbnails/9.jpg)
Typy aplikacji
• Analiza– Jak podejść do testowania bezpieczeństwa takiej
aplikacji?– Jakie problemy się pojawiają?
• Zakładamy, że aplikacja przeszła już jakieś testy bezpieczeństwa przed pierwszym wdrożeniem
![Page 10: Utrzymanie bezpieczeństwa aplikacji produkcyjnych na przykłdach](https://reader035.vdocuments.site/reader035/viewer/2022081604/587d23e81a28ab1c2f8b617f/html5/thumbnails/10.jpg)
Aplikacja A
• Okres: kwartał do roku
![Page 11: Utrzymanie bezpieczeństwa aplikacji produkcyjnych na przykłdach](https://reader035.vdocuments.site/reader035/viewer/2022081604/587d23e81a28ab1c2f8b617f/html5/thumbnails/11.jpg)
Aplikacja A
• Okres: kwartał do roku• Tworzona w modelu Waterfall
![Page 12: Utrzymanie bezpieczeństwa aplikacji produkcyjnych na przykłdach](https://reader035.vdocuments.site/reader035/viewer/2022081604/587d23e81a28ab1c2f8b617f/html5/thumbnails/12.jpg)
Aplikacja A
• Okres: kwartał do roku• Tworzona w modelu Waterfall• Testujemy zmiany wchodzące w wersji
![Page 13: Utrzymanie bezpieczeństwa aplikacji produkcyjnych na przykłdach](https://reader035.vdocuments.site/reader035/viewer/2022081604/587d23e81a28ab1c2f8b617f/html5/thumbnails/13.jpg)
Aplikacja A
• Okres: kwartał do roku• Tworzona w modelu Waterfall• Testujemy zmiany wchodzące w wersji • Problemy?
![Page 14: Utrzymanie bezpieczeństwa aplikacji produkcyjnych na przykłdach](https://reader035.vdocuments.site/reader035/viewer/2022081604/587d23e81a28ab1c2f8b617f/html5/thumbnails/14.jpg)
Aplikacja B
• Okres: Dwa do czterech tygodni
![Page 15: Utrzymanie bezpieczeństwa aplikacji produkcyjnych na przykłdach](https://reader035.vdocuments.site/reader035/viewer/2022081604/587d23e81a28ab1c2f8b617f/html5/thumbnails/15.jpg)
Aplikacja B
• Okres: Dwa do czterech tygodni • Tworzona zwinnie
![Page 16: Utrzymanie bezpieczeństwa aplikacji produkcyjnych na przykłdach](https://reader035.vdocuments.site/reader035/viewer/2022081604/587d23e81a28ab1c2f8b617f/html5/thumbnails/16.jpg)
Aplikacja B
• Okres: Dwa do czterech tygodni • Tworzona zwinnie• Testy:– Zmian?
![Page 17: Utrzymanie bezpieczeństwa aplikacji produkcyjnych na przykłdach](https://reader035.vdocuments.site/reader035/viewer/2022081604/587d23e81a28ab1c2f8b617f/html5/thumbnails/17.jpg)
Aplikacja B
• Okres: Dwa do czterech tygodni • Tworzona zwinnie• Testy:– Zmian?– Jak często?
![Page 18: Utrzymanie bezpieczeństwa aplikacji produkcyjnych na przykłdach](https://reader035.vdocuments.site/reader035/viewer/2022081604/587d23e81a28ab1c2f8b617f/html5/thumbnails/18.jpg)
Aplikacja B
• Okres: Dwa do czterech tygodni • Tworzona zwinnie• Testy:– Zmian?– Jak często?– Czy wiemy dokładnie, co się zmieniło?
![Page 19: Utrzymanie bezpieczeństwa aplikacji produkcyjnych na przykłdach](https://reader035.vdocuments.site/reader035/viewer/2022081604/587d23e81a28ab1c2f8b617f/html5/thumbnails/19.jpg)
Aplikacja B
• Okres: Dwa do czterech tygodni • Tworzona zwinnie• Testy:– Zmian?– Jak często?– Czy wiemy dokładnie, co się zmieniło?
• Problemy?
![Page 20: Utrzymanie bezpieczeństwa aplikacji produkcyjnych na przykłdach](https://reader035.vdocuments.site/reader035/viewer/2022081604/587d23e81a28ab1c2f8b617f/html5/thumbnails/20.jpg)
Aplikacja C
• Okres: kilka godzin do kilku dni
![Page 21: Utrzymanie bezpieczeństwa aplikacji produkcyjnych na przykłdach](https://reader035.vdocuments.site/reader035/viewer/2022081604/587d23e81a28ab1c2f8b617f/html5/thumbnails/21.jpg)
Aplikacja C
• Okres: kilka godzin do kilku dni • Tworzona zwinnie, korzystająca z podejścia
continuous delivery
![Page 22: Utrzymanie bezpieczeństwa aplikacji produkcyjnych na przykłdach](https://reader035.vdocuments.site/reader035/viewer/2022081604/587d23e81a28ab1c2f8b617f/html5/thumbnails/22.jpg)
Aplikacja C
• Okres: kilka godzin do kilku dni • Tworzona zwinnie, korzystająca z podejścia
continuous delivery• Testy:– Zmian?
![Page 23: Utrzymanie bezpieczeństwa aplikacji produkcyjnych na przykłdach](https://reader035.vdocuments.site/reader035/viewer/2022081604/587d23e81a28ab1c2f8b617f/html5/thumbnails/23.jpg)
Aplikacja C
• Okres: kilka godzin do kilku dni • Tworzona zwinnie, korzystająca z podejścia
continuous delivery• Testy:– Zmian?– Których zmian?
![Page 24: Utrzymanie bezpieczeństwa aplikacji produkcyjnych na przykłdach](https://reader035.vdocuments.site/reader035/viewer/2022081604/587d23e81a28ab1c2f8b617f/html5/thumbnails/24.jpg)
Aplikacja C
• Okres: kilka godzin do kilku dni • Tworzona zwinnie, korzystająca z podejścia
continuous delivery• Testy:– Zmian?– Których zmian?– Kiedy i jak?
![Page 25: Utrzymanie bezpieczeństwa aplikacji produkcyjnych na przykłdach](https://reader035.vdocuments.site/reader035/viewer/2022081604/587d23e81a28ab1c2f8b617f/html5/thumbnails/25.jpg)
Aplikacja C
• Okres: kilka godzin do kilku dni • Tworzona zwinnie, korzystająca z podejścia
continuous delivery• Testy:– Zmian?– Których zmian?– Kiedy i jak?
• Problemy?
![Page 26: Utrzymanie bezpieczeństwa aplikacji produkcyjnych na przykłdach](https://reader035.vdocuments.site/reader035/viewer/2022081604/587d23e81a28ab1c2f8b617f/html5/thumbnails/26.jpg)
PROBLEMY
![Page 27: Utrzymanie bezpieczeństwa aplikacji produkcyjnych na przykłdach](https://reader035.vdocuments.site/reader035/viewer/2022081604/587d23e81a28ab1c2f8b617f/html5/thumbnails/27.jpg)
Problemy
• Raport• Podejście do bezpieczeństwa• Wiedza, wymagania• Brak koordynatora ds. bezpieczeństwa• Ograniczenia budżetowe
![Page 28: Utrzymanie bezpieczeństwa aplikacji produkcyjnych na przykłdach](https://reader035.vdocuments.site/reader035/viewer/2022081604/587d23e81a28ab1c2f8b617f/html5/thumbnails/28.jpg)
Raport
• Forma raportu– Nieczytelna– Brak copy&paste
• Nieprzekazywanie uwag twórcom raportu• Omówienie raportu– Nie odbywa się spotkanie podsumowywujące
testy
![Page 29: Utrzymanie bezpieczeństwa aplikacji produkcyjnych na przykłdach](https://reader035.vdocuments.site/reader035/viewer/2022081604/587d23e81a28ab1c2f8b617f/html5/thumbnails/29.jpg)
Podejście do bezpieczeństwa
• Negatywne podejście do tematu bezpieczeństwa w organizacji
• Negatywny „odbiór” raportu• Nastawienie programistów do naprawy
![Page 30: Utrzymanie bezpieczeństwa aplikacji produkcyjnych na przykłdach](https://reader035.vdocuments.site/reader035/viewer/2022081604/587d23e81a28ab1c2f8b617f/html5/thumbnails/30.jpg)
Wiedza, wymagania
• Brak aktualizacji wiedzy– Informacja o wykrytych błędach nie trafia do
innych projektów/osób– Brak aktualizacji dobrych praktyk
programistycznych/wdrożeniowych• Brak aktualizacji wymagań• Nieprzestrzeganie wymagań• Brak aktualizacji zapisów w umowach
![Page 31: Utrzymanie bezpieczeństwa aplikacji produkcyjnych na przykłdach](https://reader035.vdocuments.site/reader035/viewer/2022081604/587d23e81a28ab1c2f8b617f/html5/thumbnails/31.jpg)
Brak koordynatora ds. bezpieczeństwa
• Nie ma osoby w organizacji– Odpowiedzialnej za bezpieczeństwo– Mającej czas, aby tym tematem się zająć– Mającej odpowiednią „władzę” aby móc coś
zmienić na lepsze
![Page 32: Utrzymanie bezpieczeństwa aplikacji produkcyjnych na przykłdach](https://reader035.vdocuments.site/reader035/viewer/2022081604/587d23e81a28ab1c2f8b617f/html5/thumbnails/32.jpg)
Ograniczenia budżetowe
• Budżet nie pozwala na takie testowanie, jakie chcielibyśmy mieć
• Pieniądze, jakie możemy na to wydać• Czas, jaki możemy poświęcić
![Page 33: Utrzymanie bezpieczeństwa aplikacji produkcyjnych na przykłdach](https://reader035.vdocuments.site/reader035/viewer/2022081604/587d23e81a28ab1c2f8b617f/html5/thumbnails/33.jpg)
ROZWIĄZANIA
![Page 34: Utrzymanie bezpieczeństwa aplikacji produkcyjnych na przykłdach](https://reader035.vdocuments.site/reader035/viewer/2022081604/587d23e81a28ab1c2f8b617f/html5/thumbnails/34.jpg)
SDLC
![Page 35: Utrzymanie bezpieczeństwa aplikacji produkcyjnych na przykłdach](https://reader035.vdocuments.site/reader035/viewer/2022081604/587d23e81a28ab1c2f8b617f/html5/thumbnails/35.jpg)
Rozwiązania na dziś
• Koordynator• Wiedza• Wymagania• Narzędzia• Szkolenia, konsultacje• Zmiany procesu tworzenia oprogramowania
![Page 36: Utrzymanie bezpieczeństwa aplikacji produkcyjnych na przykłdach](https://reader035.vdocuments.site/reader035/viewer/2022081604/587d23e81a28ab1c2f8b617f/html5/thumbnails/36.jpg)
Koordynator
• Powołanie osoby odpowiedzialnej • Odpowiednia moc sprawcza• Zdefiniowanie zadań• Pokazanie bezpieczeństwa jako priorytetu w
organizacji
![Page 37: Utrzymanie bezpieczeństwa aplikacji produkcyjnych na przykłdach](https://reader035.vdocuments.site/reader035/viewer/2022081604/587d23e81a28ab1c2f8b617f/html5/thumbnails/37.jpg)
Wiedza
• Zdobywanie– Analiza raportu i wyciągnięcie wniosków– Zaangażowanie różnych kompetencji• Testerzy• Programiści• Administratorzy
– Zbieranie, aktualizacja– Wymiana
![Page 38: Utrzymanie bezpieczeństwa aplikacji produkcyjnych na przykłdach](https://reader035.vdocuments.site/reader035/viewer/2022081604/587d23e81a28ab1c2f8b617f/html5/thumbnails/38.jpg)
Wymagania
• Definiowanie i aktualizacja• Egzekwowanie istniejących wymagań• Określenie co w przypadku, gdy dostawca nie
spełnił wymagań
![Page 39: Utrzymanie bezpieczeństwa aplikacji produkcyjnych na przykłdach](https://reader035.vdocuments.site/reader035/viewer/2022081604/587d23e81a28ab1c2f8b617f/html5/thumbnails/39.jpg)
Narzędzia
• Rodzaje– Skanery kodu źródłowego– Własne – Skanery podatności aplikacji webowych– Weryfikacja podatnych komponentów [!]
![Page 40: Utrzymanie bezpieczeństwa aplikacji produkcyjnych na przykłdach](https://reader035.vdocuments.site/reader035/viewer/2022081604/587d23e81a28ab1c2f8b617f/html5/thumbnails/40.jpg)
Szkolenia, konsultacje
• Najlepiej na własnych błędach• Dopasowane do potrzeb:– Defensywne dla programistów– Ofensywne dla testerów– Z technologii, z jakich korzystamy
• Awareness• Konsultacje– Tematyczne– Optymalizacja kosztów
![Page 41: Utrzymanie bezpieczeństwa aplikacji produkcyjnych na przykłdach](https://reader035.vdocuments.site/reader035/viewer/2022081604/587d23e81a28ab1c2f8b617f/html5/thumbnails/41.jpg)
Zmiany procesu tworzenia oprogramowania
• Ewolucja nad rewolucję• We wszystkich obszarach• Automatem to, co się da automatyzować• Edukacja
![Page 42: Utrzymanie bezpieczeństwa aplikacji produkcyjnych na przykłdach](https://reader035.vdocuments.site/reader035/viewer/2022081604/587d23e81a28ab1c2f8b617f/html5/thumbnails/42.jpg)
???
![Page 44: Utrzymanie bezpieczeństwa aplikacji produkcyjnych na przykłdach](https://reader035.vdocuments.site/reader035/viewer/2022081604/587d23e81a28ab1c2f8b617f/html5/thumbnails/44.jpg)