Tu código apesta
Pero puedes tomar medidas
Email: contacto@jesusmg.org
Twitter: @_jesusmg
Estado actual
Django
26 de septiembre, 2016
Una interacción entre Django y Google Analytics permitía crear cookies arbitrarías (CSRF).https://www.djangoproject.com/weblog/2016/sep/26/security-releases/
18 de julio, 2016
Ataque XSShttps://www.djangoproject.com/weblog/2016/jul/18/security-releases/
- Septiembre
- Julio
- Marzo (¡2!)
- Febrero
- Noviembre
- Agosto
- Julio (¡3!)
1 de abril, 2016
Python 8
Ya no será posible importar un módulo que no respete PEP 8
[...]
Aun podrás importar tu código antiguo añadiendo el sufijo "_noqa"
https://mail.python.org/pipermail/python-dev/2016-March/143603.html
CVE
MITRE y US-CERT
Estado deseado
Brecha de datos
- Coste medio: 4$ millones
- 158$ por registro
- ¡Hasta 355$ por registro!
- Aplicación "totalmente" segura
- Esfuerzo mínimo
- Coste mínimo
¿Cómo lo hacemos?
Ciclo de vida del desarrollo del software
Diseño...
Casos de mal uso
Análisis de modelo de amenazas
Análisis de modelo de amenazas
Programación...
Principios de codificación segura
Escribiendo código seguro - Howard y Leblanc
Guías de estilo: PEP 8
Olor del codigo
- Métodos largos
- Código duplicado
- Hombre en el medio
Refactorización
Although I own the book, and I've read it twice, I felt it was too prescriptive – if you see (x), then you must do (y). Any programmer worth his or her salt should already be refactoring aggressively. It's so essential to the craft that if you have to read a book to understand how it works, you probably shouldn't be a programmer in the first place.
Testing...
- Revisión de codigo (Guia OWASP)
- Pentesting
- Fuzzing (Proyecto Springfield)
- Escáners de código
Hora de la demo
PyFFI: The Python File Format Interface
