DevSecOps sin un mango, para principiantes
Information
La intención de la workshop es mostrar y orientar a los equipos de desarrollo, seguridad y devops (entre otros) que quieran comenzar en DevSecOps, asegurar sus aplicaciones o bien a conocer un poco más acerca del desarrollo seguro, para esto, estaremos otorgando algunos tips e información que fuimos aprendiendo para armar un Pipeline DevSecOps básico.
Mediante la utilización de diferentes herramientas open-source, que permiten realizar análisis del tipo SAST y DAST de forma totalmente automatizada en la infraestructura de la organización Logrando así reducir los tiempos durante las diferentes etapas (desarrollo,prueba y producción), tiempos de análisis y trazabilidad en cada una de las iteraciones.
Pre-requisitos
Una computadora o VPS con 8GB de RAM, con una distro GNU/LINUX instalada o virtualizada (preferentemente Ubuntu).
Deben tener instalado jenkins localmente en la misma PC/VPS donde van a bajar las imagenes de docker. Instalar las siguientes imagenes de docker:
DVWA:
docker pull vulnerables/web-dvwa
Sonarqube:
curl -sSL https://raw.githubusercontent.com/bitnami/bitnami-docker-sonarqube/master/docker-compose.yml > docker-compose.yml
docker-compose up -d
DEFECTDOJO
git clone https://github.com/DefectDojo/django-DefectDojo
cd django-DefectDojo
docker-compose build
docker-compose up -d
Owasp ZAP
docker pull owasp/zap2docker-stable
Todo el material del workshop está disponible en
https://github.com/marcositu/workshop-decsecops
Sobre Marcos Garcia
Especialista en Seguridad de la Información con más de 10 años de experiencia en el área de auditoría y análisis de seguridad para organizaciones públicas, privadas, sectores financieros, entre otros.
Sobre Nicolas Mayer
Estudiante de ingeniería en sistemas, trabaja como Analista del Red-Team de Ripio, tiene 10 años de experiencia en Seguridad. Su foco principal es el análisis de aplicaciones