What is Rugged All About? Faster/Safer w/ Rugged DevOps Joshua Corman - PowerPoint PPT Presentation

What is Rugged All About? Faster/Safer w/ Rugged DevOps Joshua Corman @joshcorman Rugged Software @RuggedSoftware

~ Marc Andreessen 2011 10/23/2013 6 ¡ @joshcorman

7 ¡

Trade Offs Costs & Benefits 10/23/2013 8 ¡ @joshcorman

Beyond ¡Heartbleed: ¡OpenSSL ¡in ¡2014 ¡ ¡ (31 ¡in ¡NIST’s ¡NVD ¡thru ¡December) ¡ As of today, internet scans by MassScan CVE-­‑2014-­‑3470 ¡6/5/2014 ¡CVSS ¡Severity: ¡4.3 ¡MEDIUM ¡ ß ß ¡SIEMENS ¡* ¡ reveal 300,000 of original 600,000 remain CVE-­‑2014-­‑0224 ¡6/5/2014 ¡CVSS ¡Severity: ¡6.8 ¡MEDIUM ¡ ß ß ¡SIEMENS ¡* ¡ unpatched or CVE-­‑2014-­‑0221 ¡6/5/2014 ¡CVSS ¡Severity: ¡4.3 ¡MEDIUM ¡ unpatchable CVE-­‑2014-­‑0195 ¡6/5/2014 ¡CVSS ¡Severity: ¡6.8 ¡MEDIUM ¡ CVE-­‑2014-­‑0198 ¡5/6/2014 ¡CVSS ¡Severity: ¡4.3 ¡MEDIUM ¡ ß ß ¡SIEMENS ¡* ¡ CVE-­‑2013-­‑7373 ¡4/29/2014 ¡CVSS ¡Severity: ¡7.5 ¡HIGH ¡ CVE-­‑2014-­‑2734 ¡4/24/2014 ¡CVSS ¡Severity: ¡5.8 ¡MEDIUM ¡** ¡DISPUTED ¡** ¡ ¡ CVE-­‑2014-­‑0139 ¡4/15/2014 ¡CVSS ¡Severity: ¡5.8 ¡MEDIUM ¡ CVE-­‑2010-­‑5298 ¡4/14/2014 ¡CVSS ¡Severity: ¡4.0 ¡MEDIUM ¡ CVE-­‑2014-­‑0160 ¡4/7/2014 ¡CVSS ¡Severity: ¡5.0 ¡MEDIUM ¡ ¡ ß ß ¡HeartBleed ¡ CVE-­‑2014-­‑0076 ¡3/25/2014 ¡CVSS ¡Severity: ¡4.3 ¡MEDIUM ¡ CVE-­‑2014-­‑0016 ¡3/24/2014 ¡CVSS ¡Severity: ¡4.3 ¡MEDIUM ¡ CVE-­‑2014-­‑0017 ¡3/14/2014 ¡CVSS ¡Severity: ¡1.9 ¡LOW ¡ CVE-­‑2014-­‑2234 ¡3/5/2014 ¡CVSS ¡Severity: ¡6.4 ¡MEDIUM ¡ ¡ CVE-­‑2013-­‑7295 ¡1/17/2014 ¡CVSS ¡Severity: ¡4.0 ¡MEDIUM ¡ ¡ CVE-­‑2013-­‑4353 ¡1/8/2014 ¡CVSS ¡Severity: ¡4.3 ¡MEDIUM ¡ ¡ CVE-­‑2013-­‑6450 ¡1/1/2014 ¡CVSS ¡Severity: ¡5.8 ¡MEDIUM ¡ … ¡ ¡

Heartbleed ¡+ ¡(UnPatchable) ¡Internet ¡of ¡Things ¡== ¡___ ¡? ¡ In ¡Our ¡Homes ¡ In ¡Our ¡Bodies ¡ In ¡Our ¡Cars ¡ In ¡Our ¡Infrastructure ¡

Sarcsm: ¡I’m ¡shocked! ¡ 11 ¡

The Ru The Rugged Ma ed Mani nifesto festo I I am m rugged... and mo more imp mportantly, my my code is ru rugged. I I recogniz ize th that t softw ftware has become a fo foundatio tion of f our mo modern world. I I recogniz ize th the awesome responsib ibility ility th that t comes with ith th this is fo foundatio tional l role le. I I recogniz ize th that t my code will ill be used in in wa ways I cannot ant anticipat pate, in n ways ays it was as no not designe ned, and and for long nger th than it it was ever in inte tended. I I recogniz ize th that t my code will ill be atta ttacked by ta tale lente ted and pe persistent nt adve adversar aries who ho thr hreat aten n our phy physical al, ec econ onom omic ic, and nation ional sec securit ity. I I recogniz ize th these ese thin ings s - a and I I c choose t to b be r rugged. I am rugged because I I I refu fuse to to be a source of f vu vulne nerability or weakne kness. I am rugged because I I I assure my code will ill support t its its mi mission. I I am rugged because my code can fa face th these challe llenges and and pe persist in n spi pite te of f th them. ¡ ¡ I am rugged, not I t because it it is is easy, but t because it it is is necessar ne ary. y... and and I am am up up for the he chal hallenge nge.

I I recogniz ize th that t softw ftware has become a fo foundatio tion of f our mo modern world. I I recogniz ize th the awesome responsib ibility ility th that t comes with ith th this is fo foundatio tional l role le. I I recogniz ize th that t my code will ill be used in in wa ways I cannot ant anticipat pate, in n ways ays it was as no not designe ned, and and for long nger th than it it was ever in inte tended. I I recogniz ize th that t my code will ill be atta ttacked by ta tale lente ted and pe persistent nt adve adversar aries who ho thr hreat aten n our phy physical al, ec econ onom omic ic, and nation ional sec securit ity. I I recogniz ize th these ese thin ings s - a and I I c choose t to b be r rugged. I I am rugged because I I refu fuse to to be a source of f vulne vu nerability or weakne kness. ¡ ¡ I I am rugged because I I assure my code will ill support t its its mi mission.

I Am The Cavalryı The Cavalry isn’t coming… It falls to usı Problem ¡Statement ¡ Mission ¡Statement ¡ Our ¡society ¡is ¡adop3ng ¡connected ¡ To ¡ensure ¡connected ¡technologies ¡with ¡ technology ¡ faster ¡than ¡we ¡are ¡able ¡to ¡ the ¡poten3al ¡to ¡impact ¡public ¡safety ¡ secure ¡it . ¡ and ¡human ¡life ¡are ¡ worthy ¡of ¡our ¡trust . ¡ • The ¡Why ¡ ¡Trust, ¡public ¡safety, ¡human ¡life ¡ ¡How ¡ ¡ Educa3on, ¡outreach, ¡research ¡ ¡Who ¡ ¡Infosec ¡research ¡community ¡ ¡ ¡ ¡ Who ¡ ¡Global, ¡grass ¡roots ¡ini3a3ve ¡ Automo3ve ¡ Connected ¡ Public ¡ Medical ¡ ¡ What ¡Long-­‑term ¡vision ¡for ¡cyber ¡safety ¡ ¡ Home ¡ Infrastructure ¡ ¡Collec`ng ¡ ¡exis3ng ¡research, ¡researchers, ¡and ¡resources ¡ ¡Connec`ng ¡ ¡researchers ¡with ¡each ¡other, ¡industry, ¡media, ¡policy, ¡and ¡legal ¡ ¡Collabora`ng ¡ ¡across ¡a ¡broad ¡range ¡of ¡backgrounds, ¡interests, ¡and ¡skillsets ¡ ¡Catalyzing ¡ ¡posi3ve ¡ac3on ¡sooner ¡than ¡it ¡would ¡have ¡happened ¡on ¡its ¡own ¡

16 ¡

h/t @petecheslock DevOpsDays Austin 2015 True #DevOps + Security isn’t all rainbows & unicorns. Unicorn p00p has to be worked thru @joshcorman @mortman #RSAC

The ¡New ¡Lifecycle ¡ Impact ¡on ¡ Releases ¡per ¡Year ¡ (Cycle ¡Time) ¡ Tradi`onal ¡Lifecycle ¡(Waterfall) ¡ Plan Design Build Test Deploy Operate 1-2 Cycle Time: Months-Years Learn Learn Agile ¡Dev ¡ ... Deploy Plan Operate 10-20 Cycle Time: Days-Weeks Modern ¡Lifecycle ¡(+DevOps, ¡Con`nuous ¡ * ) ¡ Learn ... Plan 100-200 Operate Operate Cycle Time: Minutes-Hours 19 ¡

Cycle ¡Time ¡Squeeze ¡ Hours/Days Legacy ¡ Governance ¡ If ¡it ¡does ¡not ¡fit, ¡ It ¡does ¡not ¡get ¡done. ¡ Hours/Days • Work ¡Arounds ¡ • Batch ¡Scans ¡ n Cycle Time: g • Rework ¡ Min-Hours i s e D • Exposure ¡ Operate Go Fast OR Sleep at Night H o u r s / D a y s 20 ¡

Cycle ¡Time ¡Synergy ¡ s n d e c o S Con0nuous ¡Security ¡for ¡ Con0nuous ¡Delivery ¡ Seconds Seconds • No ¡Interrup3on ¡ • En3re ¡Lifecycle ¡ Cycle Time: n g • Solve ¡Early ¡ Min-Hours i s e • Avoid ¡Rework ¡ D Operate Go Fast AND Sleep at Night 21 ¡

SW ¡Status ¡Quo: ¡Most ¡aiacked; ¡least ¡spend ¡ Worse, ¡w/in ¡So]ware, ¡exis3ng ¡dollars ¡go ¡to ¡the ¡<= ¡10% ¡wriTen ¡ ¡ aTack ¡risk ¡ spending ¡ ¡ WriTen ¡Code ¡Scanning ¡ People ¡Security ¡ ¡~$4B ¡ Assembled ¡3 rd ¡Party ¡& ¡ Data ¡Security ¡ ¡~$5B ¡ So]ware ¡ OpenSource ¡ Security ¡ Components ¡ ~$0.5B ¡ ¡ Host ¡Security ¡ ¡~$10B ¡ ~90% ¡of ¡most ¡ applica3ons ¡ ¡ Almost ¡No ¡Spending ¡ Network ¡Security ¡ ¡~$20B ¡ Source: ¡Normalized ¡CObIT ¡spending ¡across ¡IDC, ¡Gartner, ¡The ¡451 ¡Group; ¡since ¡groupings ¡vary ¡

Insanity ¡ SOURCE: ¡@joshcorman ¡& ¡@mortman ¡RSAC2015 ¡

1) ¡Instrumenta`on ¡ SOURCE: ¡@joshcorman ¡& ¡@mortman ¡RSAC2015 ¡

2) ¡Be ¡Mean ¡To ¡Your ¡Code! ¡ SOURCE: ¡@joshcorman ¡& ¡@mortman ¡RSAC2015 ¡

3) ¡Complexity ¡is ¡the ¡enemy ¡of ¡“all ¡the ¡things” ¡ SOURCE: ¡@joshcorman ¡& ¡@mortman ¡RSAC2015 ¡

4) ¡Change ¡Management ¡(finally) ¡ SOURCE: ¡@joshcorman ¡& ¡@mortman ¡RSAC2015 ¡

5) ¡Empathy ¡tears ¡down ¡walls ¡ SOURCE: ¡@joshcorman ¡& ¡@mortman ¡RSAC2015 ¡

Rugged DevOps SESSION ID: Going Even Faster With Software Supply Chains Gene Kim Joshua Corman Researcher ¡and ¡Author ¡ CTO ¡ IT ¡Revolu3on ¡Press ¡ Sonatype ¡ @RealGeneKim ¡ @joshcorman ¡ #RSAC

Sooware ¡is ¡an ¡innova`on ¡differen`ator ¡

Lean ¡ Agile ¡ Open ¡Source ¡ DevOps ¡ Con3nuous ¡integra3on ¡ Con3nuous ¡delivery ¡ Internet ¡of ¡things ¡ Modularity ¡ So]ware ¡factories ¡