Transcripción – Implementación de controles de seguridad

El Ciclo de Vida de Desarrollo de Software, o lo que se conoce con sus siglas SDLC, es todo el proceso que
tiene cualquier desarrollo nuevo en una organización desde que se tiene la idea del mismo hasta que
está ya implantado en producción.

- Requerimientos
- Diseño
- Desarrollo
- Pruebas
- Despliegue
- Operaciones

IMPLEMENTACIÓN DE CONTROLES DE SEGURIDAD A NIVEL DE DESARROLLO

El Ciclo de Vida de Desarrollo de Seguridad (SDL) es un proceso de control de seguridad (SDL) orientado
al desarrollo de software, implementado por Microsoft en el año 2004.

Con un enfoque tanto holístico como practico, SDL tiene como objetivo reducir el numero y la gravedad
de las vulnerabilidad en el software.

¿Por qué usar SDL?

Es una manera de evitar problemas de seguridad en el desarrollo, como:

- Anticipando falas en el código.

- Atacantes atacan todo el código: proteger todo el desarrollo, no solo un componente. Los actores
maliciosos atacan todo el software y buscan fallas en el mismo.
- Remover código viejo: el software se modifica y no hay un proceso de mejora que permita borrar
código que ya no forma parte en la nueva versión.
- Eliminar funciones antiguas: mejoradas por otras.
- Reemplazar protocolos viejos.
- Problemas de performance: permite mejorar el desarrollo, haciéndolo mas eficiente en su rendimiento.
- Reconocer que el código fallará y reducir la superficie de ataque.

Metodología de Desarrollo Seguro Empresa Metodología

Microsoft Security Development Lifecycl Microsoft Tradicional
Oracle Software Security Assurance Oracle Tradicional
 Comprehensive Lightweight Application OWASP Tradicional
Security Process
Team Software Process Secure Software Tradicional
Engineer
Institute
Sofware Assurance Maturity Model OWASP Tradicional
Building Security in Maturity Model Cigital Ágil
Agile Development Using Microsoft Security Microsoft Ágil

DESARROLLO DE SOFTWARE DE MANERA SEGURA

1. Formación
Seguridad básica formación.

2. Requisitos
Establecer requisitos de seguridad.

- Crear umbrales de calidad y límites de errores.

- Evaluación de los riesgos de seguridad y privacidad.

3. Diseño
- Establecer requisitos de diseño.

- Analizar superficie de ataques.

- Modelos de riesgos.

4. Implementación
- Usar herramientas aprobadas.

- Prohibir funciones no seguras.

- Análisis estático.

5. Comprobación
- Análisis dinámico.

- Fuzz Testing.

- Revisión de la superficie de ataques.

 6. Lanzamiento
- Plan de respuesta a incidentes.

- Revisión de seguridad final.

- Lanzamiento archivado.

7. Respuesta
Ejecutar plan de respuesta a incidentes.

HERRAMIENTAS DE REVISIÓN DE CÓDIGO

La revisión del código es una parte del proceso de desarrollo de software que implica la comprobación
del código fuente para identificar los errores en una etapa temprana.

Una revisión efectiva del código evita que los errores y fallos se introduzcan en el proyecto, mejorando la
calidad del código en una fase temprana del proceso de desarrollo del software.

- Sonarqube – Kiuwan

- HP Quality Center