OPEN CLASS CEUPE
Empresas
Código Seguro y SecDevOps
Título: Código Seguro y SecDevOps
Día: 31/08/2020
Horario:
Temática:
Escribir, desarrollar y desplegar software escrito con código seguro (es decir, evitando escribir líneas de código que sean potencialmente sensibles a diferentes ataques), es posiblemente el Santo Grial de la Ciberseguridad. Si los programas están creados pensando desde la fase 0 (planificación) con la asesoría de expertos en ciberseguridad y programación, posiblemente estemos eliminando el 90% de los problemas actuales de seguridad informática. En esta charla vamos a hace una introducción a las diferentes técnicas que se utilizan para escribir y desplegar código seguro.
Comenzaremos por Threat Modeling o Modelado de Amenazas, parte fundamental para comprender a qué nos enfrentamos. Tenemos que aprender qué estamos haciendo, qué puede salir mal, qué vamos a hacer cuando ocurra (por que ocurrirá) y finalmente cuando la amenaza haya terminado, pensar qué podemos mejorar para que no vuelva a ocurrir. Veremos hasta formas divertidas de aprender a modelar y enfrentarnos a estas amenazas.
Luego veremos como OWASP Top 10 nos ofrece una gran cantidad de información sobre las amenazas dentro de los entornos de desarrollo, que afectan a la seguridad del código. OWASP publica de manera periódica unas listas top 10 donde detallan cuáles son los ataques más comunes contra aplicaciones. Por lo tanto, si aplicamos este top 10, estamos evitando buena parte de ellos.
Y finalmente, hablaremos de la cadena SecDevOps y cómo funciona, utilizando herramientas tan conocidas como Docker y Kubernetes. DevOps ya no puede funcionar sin el Sec delante. Un equipo de profesionales expertos en código seguro tiene que trabajar codo con codo con el resto del equipo aplicando técnicas de seguridad en todo el código escrito. Además, también veremos el gran impacto que tienen herramientas como los contenedores Docker y su orquestación utilizando kubernetes.
Y de esta forma, si conseguimos escribir código seguro, daremos un salto cuantitativo en la protección de nuestros sistemas.