Ecosyste.ms: Awesome

An open API service indexing awesome lists of open source software.

Awesome Lists | Featured Topics | Projects

https://github.com/wh0isdxk/DesenvolvimentoSeguro

Principios e Boas Práticas sobre Desenvolvimento Seguro
https://github.com/wh0isdxk/DesenvolvimentoSeguro

desenvolvimento-seguro development hacktoberfest hacktoberfest2022 secure-development security security-by-design seguranca seguranca-da-informacao

Last synced: 3 months ago
JSON representation

Principios e Boas Práticas sobre Desenvolvimento Seguro

Host: GitHub
URL: https://github.com/wh0isdxk/DesenvolvimentoSeguro
Owner: wh0isdxk
Created: 2021-04-12T13:46:24.000Z (almost 4 years ago)
Default Branch: main
Last Pushed: 2024-04-01T13:36:58.000Z (10 months ago)
Last Synced: 2024-08-01T19:39:33.344Z (6 months ago)
Topics: desenvolvimento-seguro, development, hacktoberfest, hacktoberfest2022, secure-development, security, security-by-design, seguranca, seguranca-da-informacao
Homepage:
Size: 1.19 MB
Stars: 629
Watchers: 21
Forks: 39
Open Issues: 4
Metadata Files:
- Readme: README.md
- Security: SecurityChampions.md
- Roadmap: Roadmaps/AppSec.md

Awesome Lists containing this project

README

        ![desevsec](https://user-images.githubusercontent.com/37185061/175793495-359760d6-6e65-4d74-a765-797030b4d36d.png)

## Princípios e Boas Práticas sobre Desenvolvimento Seguro

  








 "As   falhas   de   segurança   de   software   podem   ser   introduzidas   em   qualquer   fase   do   ciclo   dedesenvolvimento, inclusive:

 

- No início, ao não identificar as necessidades de segurança;

- Na criação de arquiteturas conceituais que possuam erros de lógica;

- No uso de más práticas de programação que introduzam vulnerabilidades técnicas;

- Na implementação do software de modo inapropriado;

- Na inserção de falhas durante a manutenção ou a atualização."

  

[- OWASP Secure Coding Practices  Quick Reference Guide](https://owasp.org/www-project-secure-coding-practices-quick-reference-guide/migrated_content)




### :point_right:	Comece por aqui: 

- [O que é Desenvolvimento Seguro?](https://github.com/wh0isdxk/DesenvolvimentoSeguro/blob/main/Conceitos/Fundamentos.md#o-que-%C3%A9-desenvolvimento-seguro)

- [Porque Desenvolvimento Seguro?](https://github.com/wh0isdxk/DesenvolvimentoSeguro/blob/main/Conceitos/Fundamentos.md#porque-desenvolvimento-seguro)

- [Quais os pilares do Desenvolvimento Seguro?](https://github.com/wh0isdxk/DesenvolvimentoSeguro/blob/main/Conceitos/Fundamentos.md#quais-os-pilares-do-desenvolvimento-seguro)

- [Por onde começar?](https://github.com/wh0isdxk/DesenvolvimentoSeguro/blob/main/Conceitos/Fundamentos.md#por-onde-come%C3%A7ar)

- [Shift Left](https://github.com/wh0isdxk/DesenvolvimentoSeguro/blob/main/Conceitos/Fundamentos.md#shift-left)

### :large_blue_circle:  Planejamento

- [Threat Model](https://github.com/wh0isdxk/DesenvolvimentoSeguro/blob/main/1-Planejamento.md#threat-model)

- [GDPR e LGPD](https://github.com/wh0isdxk/DesenvolvimentoSeguro/blob/main/1-Planejamento.md#gdpr-e-lgpd)

- [Requisitos de Segurança](https://github.com/wh0isdxk/DesenvolvimentoSeguro/blob/main/1-Planejamento.md#requisitos-de-seguran%C3%A7a)

 

### :green_circle:  Design

- [Padronização](https://github.com/wh0isdxk/DesenvolvimentoSeguro/blob/main/1-Planejamento.md#padroniza%C3%A7%C3%A3o)

- [Security-by-Design](https://github.com/wh0isdxk/Security-by-Design)

   

### :orange_circle: Desenvolvimento/Implementação

- [Melhores práticas](https://github.com/wh0isdxk/DesenvolvimentoSeguro/blob/main/3-Desenvolvimento.md#desenvolvimento)

- Code Review 

- Checklists 

  

### :red_circle:  Testes

- SCA

- SAST

- DAST

- IAST

- Pentest 

  

### :yellow_circle:  Deploy

- Validação dos pontos de Segurança 

- Testes automatizados

  

### :black_circle:  Manutenção e evolução

- Monitoramento 

- Melhorias na Esteira 

- Gestão de Vulnerabilidades 

- [Security Champions](https://github.com/wh0isdxk/DesenvolvimentoSeguro/blob/main/SecurityChampions.md#security-champions)

- Treinamentos de equipe 

#### :world_map:	 Roadmap 

#### :link:	Links Interessantes 

- OWASP

- NIST 800-190 Application Container Security Risk Checklist

- NIST SSDF

#### :books:	Livros 

*PT BR*

- [Segurança para Desenvolvedores Web](https://www.amazon.com.br/Seguran%C3%A7a-Para-Desenvolvedores-Web-JavaScript/dp/8575224840/ref=sr_1_21?keywords=web+security&qid=1636284781&sprefix=web+se%2Caps%2C208&sr=8-21&ufe=app_do%3Aamzn1.fos.6d798eae-cadf-45de-946a-f477d47705b9)

- [Código Limpo](https://www.amazon.com.br/C%C3%B3digo-limpo-Robert-C-Martin/dp/8576082675/ref=sr_1_1?__mk_pt_BR=%C3%85M%C3%85%C5%BD%C3%95%C3%91&crid=1ETDZUTWLKJX7&keywords=codigo+limpo&qid=1636284943&sprefix=codigo+limpo+%2Caps%2C193&sr=8-1&ufe=app_do%3Aamzn1.fos.6d798eae-cadf-45de-946a-f477d47705b9)

- [Arquitetura Limpa](https://www.amazon.com.br/Arquitetura-Limpa-Artes%C3%A3o-Estrutura-Software/dp/8550804606/ref=sr_1_2?__mk_pt_BR=%C3%85M%C3%85%C5%BD%C3%95%C3%91&crid=1ETDZUTWLKJX7&keywords=codigo+limpo&qid=1636284980&sprefix=codigo+limpo+%2Caps%2C193&sr=8-2&ufe=app_do%3Aamzn1.fos.6d798eae-cadf-45de-946a-f477d47705b9)

- [Pentest em Aplicações Web](https://novatec.com.br/livros/pentest-em-aplicacoes-web/)

*ENG*

- [Cyberjutsu](https://www.amazon.com.br/Cyberjutsu-Cybersecurity-Modern-Ben-McCarty/dp/1718500548/ref=sr_1_32?__mk_pt_BR=%C3%85M%C3%85%C5%BD%C3%95%C3%91&crid=1ZEPHUNAH4N34&keywords=no+press+starch&qid=1636285019&sprefix=no+press+starch%2Caps%2C193&sr=8-32&ufe=app_do%3Aamzn1.fos.6a09f7ec-d911-4889-ad70-de8dd83c8a74)

- [The Tangled Web](https://www.amazon.com.br/Tangled-Web-Securing-Modern-Applications/dp/1593273886/ref=sr_1_17?keywords=web+security&qid=1636284781&sprefix=web+se%2Caps%2C208&sr=8-17&ufe=app_do%3Aamzn1.fos.4bddec23-2dcf-4403-8597-e1a02442043d)

- [Secure by Design](https://www.amazon.com.br/Secure-Design_p1-Dan-Bergh-Johnsson/dp/1617294357/ref=sr_1_3?keywords=secure+code&qid=1636284633&sprefix=secure+%2Caps%2C233&sr=8-3&ufe=app_do%3Aamzn1.fos.e05b01e0-91a7-477e-a514-15a32325a6d6)

- [Securing DevOps](https://www.amazon.com.br/Securing-DevOps-Safe-services-Julien-Vehent/dp/1617294136/ref=sr_1_32?keywords=secure+code&qid=1636284684&sprefix=secure+%2Caps%2C233&sr=8-32&ufe=app_do%3Aamzn1.fos.e05b01e0-91a7-477e-a514-15a32325a6d6)

- [Web Application Security](https://www.amazon.com.br/Web-Application-Security-Andrew-Hoffman/dp/1492053112/ref=sr_1_3?keywords=web+security&qid=1636284754&sprefix=web+se%2Caps%2C208&sr=8-3&ufe=app_do%3Aamzn1.fos.4bddec23-2dcf-4403-8597-e1a02442043d)

- [Secure and Resilient Software](https://www.amazon.com.br/Secure-Resilient-Software-Requirements-Testing/dp/0367382148/ref=sr_1_1?__mk_pt_BR=%C3%85M%C3%85%C5%BD%C3%95%C3%91&crid=14T7YC86JN6CC&keywords=Secure+and+Resilient+Software&qid=1636285468&sprefix=secure+and+resilient+software+%2Caps%2C382&sr=8-1&ufe=app_do%3Aamzn1.fos.25548f35-0de7-44b3-b28e-0f56f3f96147)

- [Building Secure and Reliable Systems](https://www.amazon.com.br/s?k=no+press+starch&__mk_pt_BR=%C3%85M%C3%85%C5%BD%C3%95%C3%91&crid=1ZEPHUNAH4N34&sprefix=no+press+starch%2Caps%2C193&ref=nb_sb_noss)

#### :teacher:	Exercícios

- [secDevLabs](https://github.com/globocom/secDevLabs/) - Variados sistemas vulneráveis que você pode rodar localmente, encontrar as falhas no código e submeter a mitigação para a comunidade dar dicas e corrigir sua implementação, muito bom para treinar programação + segurança.

- [OWASP JuiceShop](https://owasp-juice.shop/) - E-commerce vulneravel com mais de 80 desafios para você treinar quais são as OWASP Top 10 vulnerabilidades e aprender a explora-las de uma forma gameficada.

#### :tv:	Cursos 

- [UDEMY - Desenvolvimento Seguro de Software](https://www.udemy.com/course/desenvolvimento-seguro-de-software/)

- [UDEMY - Desenvolvimento Seguro de Sotfware Avançado](https://www.udemy.com/course/desenvolvimento-seguro-de-software-avancado/)

- [GoHacking - Secure Coding and DevSecOps](https://gohacking.com.br/curso/gohacking-secure-coding-and-devsecops)

- [Coursera - Secure Coding Pratices](https://www.coursera.org/specializations/secure-coding-practices)

- [DesecSecurity - Introdução ao Pentest na prática](https://desecsecurity.com/curso/introducao-pentest)

#### :trophy:	Security Champions 

*Textos*

- [How to build an effective Security Champions Program](https://safecode.org/how-to-build-an-effective-security-champions-program/)

- [Security Champions Playbook](https://github.com/c0rdis/security-champions-playbook)

- [How to Implement a Security Champions Program](https://www.darkreading.com/careers-and-people/how-to-implement-a-security-champions-program)

*Videos*

- [BlackHat - SDL at Scale: Growing Security Champions](https://www.youtube.com/watch?v=gpGl3guuyDw)

- [Conviso - A cultura do Security Champion em Application Security](https://www.youtube.com/watch?v=-BRG-6eh2bE)

#### :video_camera:	Vídeos 

- [Acadi-TI - Semana do Desenvolvimento Seguro](https://www.youtube.com/watch?v=6Zm5_rcf6EQ)

- [DevSecOps Podcast - Por que Desenvolvimento Seguro?](https://www.youtube.com/watch?v=95K_fDDUSnc)

- [GoHacking - Desmistificando Desenvolvimento Seguro e DevSecOps](https://www.youtube.com/watch?v=oZc0SNpdOaI)

- [Roadsec - OWASP](https://www.youtube.com/watch?v=erwu5LsHJQc)

- [Conviso - Owasp Top 10 2021, Priorização dos principais riscos e a segurança no design](https://www.youtube.com/watch?v=A0K7f0jDphQ)

#### :page_with_curl:	Artigos 

#### :desktop_computer:	Linguagens 

- [Golang](https://github.com/wh0isdxk/DesenvolvimentoSeguro/blob/main/GolangSecurity.md)

- Go 

- .NET 

- Javascript