DesenvolvimentoSeguro

Princípios e Boas Práticas sobre Desenvolvimento Seguro

<p align="center"> <img src="https://res.cloudinary.com/hy4kyit2a/f_auto,fl_lossy,q_70/learn/modules/application-security-planning/protect-applications-with-a-secure-development-lifecycle/images/e5e5b7bb90e48733c284c5055cf9bf39_ck-4-iu-960-a-000-j-12-b-14-dzue-69-x.png" width="782"/> </p> <br />

"As falhas de segurança de software podem ser introduzidas em qualquer fase do ciclo dedesenvolvimento, inclusive:

• No início, ao não identificar as necessidades de segurança;
• Na criação de arquiteturas conceituais que possuam erros de lógica;
• No uso de más práticas de programação que introduzam vulnerabilidades técnicas;
• Na implementação do software de modo inapropriado;
• Na inserção de falhas durante a manutenção ou a atualização."

- OWASP Secure Coding Practices Quick Reference Guide
<br />

:point_right: Comece por aqui:

• O que é Desenvolvimento Seguro?
• Porque Desenvolvimento Seguro?
• Quais os pilares do Desenvolvimento Seguro?
• Por onde começar?
• Shift Left

:large_blue_circle: Planejamento

• Threat Model
• GDPR e LGPD
• Requisitos de Segurança

:green_circle: Design

• Padronização
• Security-by-Design

:orange_circle: Desenvolvimento/Implementação

• Melhores práticas
• Code Review
• Checklists

:red_circle: Testes

• SCA
• SAST
• DAST
• IAST
• Pentest

:yellow_circle: Deploy

• Validação dos pontos de Segurança
• Testes automatizados

:black_circle: Manutenção e evolução

• Monitoramento
• Melhorias na Esteira
• Gestão de Vulnerabilidades
• Security Champions
• Treinamentos de equipe

:world_map: Roadmap

:link: Links Interessantes

• OWASP
• NIST 800-190 Application Container Security Risk Checklist
• NIST SSDF

:books: Livros

PT BR

• Segurança para Desenvolvedores Web
• Código Limpo
• Arquitetura Limpa
• Pentest em Aplicações Web

ENG

• Cyberjutsu
• The Tangled Web
• Secure by Design
• Securing DevOps
• Web Application Security
• Secure and Resilient Software
• Building Secure and Reliable Systems

:teacher: Exercícios

• secDevLabs - Variados sistemas vulneráveis que você pode rodar localmente, encontrar as falhas no código e submeter a mitigação para a comunidade dar dicas e corrigir sua implementação, muito bom para treinar programação + segurança.
• OWASP JuiceShop - E-commerce vulneravel com mais de 80 desafios para você treinar quais são as OWASP Top 10 vulnerabilidades e aprender a explora-las de uma forma gameficada.

:tv: Cursos

• UDEMY - Desenvolvimento Seguro de Software
• UDEMY - Desenvolvimento Seguro de Sotfware Avançado
• GoHacking - Secure Coding and DevSecOps
• Coursera - Secure Coding Pratices
• DesecSecurity - Introdução ao Pentest na prática

:trophy: Security Champions

Textos

• How to build an effective Security Champions Program
• Security Champions Playbook
• How to Implement a Security Champions Program

Videos

• BlackHat - SDL at Scale: Growing Security Champions
• Conviso - A cultura do Security Champion em Application Security

:video_camera: Vídeos

• Acadi-TI - Semana do Desenvolvimento Seguro
• DevSecOps Podcast - Por que Desenvolvimento Seguro?
• GoHacking - Desmistificando Desenvolvimento Seguro e DevSecOps
• Roadsec - OWASP
• Conviso - Owasp Top 10 2021, Priorização dos principais riscos e a segurança no design

:page_with_curl: Artigos

:desktop_computer: Linguagens

• Golang
• Go
• .NET
• Javascript