Meetup DevOps Tahiti - OWASP pour 0 euros
Présentation OWASP
Open Web Application Security Project (OWASP) is a 501(c)(3) worldwide not-for-profit charitable organization focused on improving the security of software.
Projets dans des “stages”: Incubator, Labs, FlasgShip, Inactive, Low activity.
3 communautés: Defenders, Builders, Breakers.
Processus d’intégration continue et sécurité
Microsoft propose le processus d’intégration continue SDLC qui a également donné lieu à la norme 27034.
Présentation
Par phases
- Training,
- Requirements,
- Design,
- Implementation,
- Focus controls 2018,
- Release,
- Response
Phase: Training
- Security Knowledge Framework (SKF): Guide for building and verifying secure software Link to ASVS/Requirements,
- Security Shepherd: Teaching Tool for All Application Security (web and mobile),
- Juice Shop, WebGoat, DevSlop, DVSA (serverless): Vulnerable Application for training.
Phase: Requirements
- DevSecOps Maturity Matrix: https://dsomm.timo-pagel.de/,
- OpenSAMM: Software Assurance Maturity Model,
- Security Stories,
- Cornucopia card game to help identify security requirements in Agile,
Phase: Design
- Top ten: Web, API, Cloud, Mobile…
- Threat Dragon: Threat Modeling
Phase: Implementation
- CheatSheets https://cheatsheetseries.owasp.org/,
- Find Security Bugs et ici Integrated into Sonar (Java seulement),
- Dependency Check pour Jave et .NET en expérimental pour Ruby, node.js, python, C/C++,
- Risk Assessment analyse de code source, et site web,
- Anti-Samy library for HTML and CSS encoding, tourné vers les injections de code javascript/HTML/CSS,
- ESAPI,
- Benchmark outil java permettant de valider la qualité de détection des outils “AST” (SAST, DAST, …),
- Pro-Active Controls.
- Revues de code.
Focus controls 2018
- Define Security Requirements
- Leverage Security Frameworks and Libraries
- Secure Database Access
- Encode and Escape Data
- Validate All Inputs
- Implement Digital Identity
- Enforce Access Controls
- Protect Data Everywhere
- Implement Security Logging and Monitoring
- Handle All Errors and Exceptions
Phase: Verification
- OWASP Zed Attack Proxy Project outil comme Burp Suite proxy pour le test de sécurité,
- Testing Guide Penetration testing framework, actuellement en v3 et v4 en cours,
- ASVS Application Security Verification Standard, même un word et un excel,
- DefectDojo Dashboard aggregating testing tools, pour le tracking des vulnérabilités,
- Container Security verification standard, pour vos conteneurs Docker,
- Mobile Security Testing Guide.
Phase: Release
- Packman A documentation and tracking project with the goal of making package management systems more secure.
Phase: Response
- Dependency Track gestion des assets,
- AppSensor détection d’intrusion et réponse,
- ModSecurity Core Rule Set pour la détection d’attaques,
- HoneyPot et python honeypot,
- Amass Tool to help perform network mapping of attack surfaces,
- Jupiter Application inventory.
Bonus
- OWASP for CISO,
- OWASP O2 pour automatiser les tests et les rapports et partager de l’informations de cybersécurité avec tous.