WORKSHOP PRÁCTICAS DE MICROSOFT SDL

ANDRÉS FELIPE ARIAS CLAVIJO

JHOAN MANUEL DUARTE VILLALOBOS

KEVIN STEVEN MENES VILLEGAS

JOSÉ DAVID SOTO CASTRO

UNIVERSIDAD DE CUNDINAMARCA

FUSAGASUGÁ

FACULTAD DE INGENIERÍA

INGENIERÍA DE SISTEMAS

2022-2
 Introducción

En la siguiente actividad se tomará como referencia el documento de Prácticas de

Microsoft SDL donde se verificará las practicas sugeridas por Microsoft en el SDL

donde se establecerán la fase de cada practica del ciclo de desarrollo de software

donde se evidenciará la implementación de cada una de las practicas

Práctica #1 - Proporcionar Capacitación

Esta primera practica que se puede llegar a entender como una de las más importantes a

la hora de establecer y poner en marcha un proyecto, y esta práctica se puede posicionar

en la fase de definición donde como principales medidas se debe o se puede brindar

formación complementaria al conocimiento con base a la seguridad para así cumplir con

los estándares y requisitos que plantea esta práctica en la cual se le ofrece capacitación a

los interesados del producto, los cuales son; el equipo de desarrollo, ingenieros y demás

equipo de trabajo donde se implementaras metodologías de buenas prácticas de código

seguro, considerar los buenos requisitos de seguridad con cara a los a los stakeholders

donde son los usuarios finales, patrocinadores, interesados y demás, donde se pueda

considerar una meta para la implementación del proyecto en seguridad y saber cómo

incorporarla el software gracias a la buena capacitación y formación eficaz proporcionada

se puede tener un sistema seguro para el usuario final.

Práctica #2 - Definir requisitos de seguridad

La definición de requisitos de todo sistema con base a la seguridad se debe ir arraigadas

en las fases de definir y diseñar ya que se debe analizar y contemplar las dimensiones de

lo que se va a implementar, ya que en este caso los aspectos fundamentales a considerar

son la privacidad del sistema y la seguridad de este sin importar la metodología. Como

sabemos, la tecnología, los sistemas y todo lo relacionado en este ámbito está en

constante actualización, por tal hecho, la implementación de los requisitos de seguridad

se debe llevar a cabo en las etapas iniciales donde se trazan las medidas y alcances para

una buena integración donde los desarrolladores minimicen pueden minimizar la

interrupción de seguridad. Esta práctica es la base de todo proyecto y así mismo se tiene

un seguimiento de trabajo de estos para brindar mejor seguridad a la hora de ser

desarrollado e implementado.

Práctica #3- Definir métricas e informes de cumplimiento

Esta práctica puede ser implementada en las fases de definir, ya que al momento de

establecer los requisitos de seguridad y todo lo que esto conlleva, se deben precisar los

niveles mínimos para la calidad de seguridad que debe segur el equipo de desarrollo ya

que con base a esto se puede pasar a la siguiente dase que es diseñar, donde se planifica y

se modela la trazabilidad con base a los niveles mínimos que se plantean, en esta fase se

pueden esquematizar los errores que se pueden encontrar en la fase de desarrollo así

mismo crear planes para saber como corregirlos en caso tal. Al definir las métricas y los

informes de cumplimiento se crea un ambiente seguro para el grupo de desarrolladores,

ya que se le puede hacer un seguimiento de cumplimiento de estas métricas para

seguridad de los usuarios.

Práctica #4 - Realizar modelado de amenazas

El modelado de amenazas es fundamental en cualquier ámbito tecnológico pues de allí se

pueden identificar y tener un enfoque de cara a las vulnerabilidades de seguridad que se

pueden presentar, es así que en mi opinión esta práctica se encuentra ubicada en las fases

de principalmente definir, diseñar pues es aquí en donde se realizara la correspondiente

investigación e identificación de posibles futuras amenazas o vulnerabilidades con el fin de

crear un enfoque para darle una solución en las demás etapas del ciclo de vida del

software.

Práctica #5- Establecer requisitos de diseño

Para garantizar que el riesgo de vulnerabilidades sea el mínimo los ingenieros suelen

implementar características seguras que normalmente se basan en criptografía,

autenticación, registro y otros, es así que esta práctica se aplicaría principalmente en el

diseño, desarrollo e implementación aunque debido a la implementación de muchas de

las características seguras den paso a algunas vulnerabilidades se deben realizar

constantes actualizaciones o parches de seguridad en la etapa de mantenimiento.

Práctica #6- Definir y usar estándares de criptografía

Con el fin de que el manejo de los datos e información sensible sean los correctos se crean

distintas estrategias para que estos sean seguros y sin riesgo de que se divulguen o suceda

una alteración no deseada, para ello se crean estándares de encriptado para proteger

dicha información es así como en mi opinión por un lado se debe planificar y definir el uso

de estos estándares en la fase de definición y diseño para posteriormente ser

implementados en la fase de desarrollo y así cumplir con los requisitos de seguridad en

cuento a datos de cualquier producto de software.

Práctica #7-Administrar el riesgo de seguridad del uso de componentes de terceros

Desarrollar, Implementar, Definir, diseñar: Pues se requiere desarrollar e implementar un

inventario de componentes de terceros y así mismo definir y diseñar un plan de respuesta

ante nuevas vulnerabilidades de seguridad a las que se vean expuestos los proyectos de

software cuando se utilice componentes de terceros.

Práctica #8-Usar herramientas aprobadas

Mantener, implementar, Desarrollar, definir: esto debido a que principalmente se deben

definir qué herramientas que se encuentran aprobadas se podrían implementar en cuanto

al desarrollo de proyectos de software, para que estas se implementen, con la certeza de

qué brindarán información respecto a las comprobaciones de seguridad y de esta manera

mantener el control de los errores que se presenten en el desarrollo de un proyecto.

Práctica #9-Realizar pruebas de seguridad de análisis estático (SAST)

Implementar, definir, desarrollar, diseñar: podríamos decir que para que se pueda garantizar que
las pruebas de seguridad de análisis estático se aseguren que se sigan las directivas de codificación
segura, tenemos que definir e identificar las vulnerabilidades que manifieste el software, es por
eso que en el desarrollo podemos aplicar diseño e implementación de diferentes alternativas que
permitan hacer correcciones, a medida que un desarrollador este codificando y de esta manera se
logren implementar múltiples tácticas para que haya una igualdad entre la productividad y la
seguridad al momento trabajar en un proyecto.

Práctica #10-Realizar pruebas de seguridad de análisis dinámico (DAST)

Las pruebas de seguridad de análisis dinámico se relacionarían con la fase de la

implementación y el mantenimiento debido a que ésta se hace para verificar la seguridad

que puede tener nuestro aplicativo, para esto se realizarían una serie de pruebas para

evidenciar si el hecho de realizar cambios de usuarios puede generar daños a la seguridad

asimismo sí se puede evidenciar daños en la memoria y encontrar una solución única para

todos estos problemas.

Práctica #11-Realizar pruebas de penetración

las pruebas de penetración se realizan durante la etapa de implementación y

mantenimiento debido aquí ese no es momento en el que el software sale al uso público

donde se pueden dar ataques de un hacker,la manera de aplicarla sería mediante un

equipo de trabajo constante ir simulando las acciones que tomaría un hacker para de esta

forma poder llegar a prevenirlas.

Práctica #12-Establecer un proceso estándar de respuesta a incidentes

El hecho de establecer un proceso estándar de respuesta a incidentes hace que al

momento te presentarse una amenaza se pueda dar solución a esta en el menor tiempo

posible para esto se involucraría en las etapas de desarrollo debido a que éste debe

probarse antes de que sea necesario luego lo podríamos ver en funcionamiento en las

etapas de implementación y mantenimiento para siempre estar listos ante una

emergencia de seguridad.