0 calificaciones0% encontró este documento útil (0 votos)
2 vistas8 páginas
El documento describe el ciclo de vida de seguridad en el desarrollo de software (S-SDLC). Introduce la seguridad en cada fase del desarrollo de software para identificar y abordar vulnerabilidades de manera temprana. También discute excusas comunes para no implementar seguridad y recomienda adoptar un enfoque de seguridad integral desde el inicio del desarrollo.
El documento describe el ciclo de vida de seguridad en el desarrollo de software (S-SDLC). Introduce la seguridad en cada fase del desarrollo de software para identificar y abordar vulnerabilidades de manera temprana. También discute excusas comunes para no implementar seguridad y recomienda adoptar un enfoque de seguridad integral desde el inicio del desarrollo.
El documento describe el ciclo de vida de seguridad en el desarrollo de software (S-SDLC). Introduce la seguridad en cada fase del desarrollo de software para identificar y abordar vulnerabilidades de manera temprana. También discute excusas comunes para no implementar seguridad y recomienda adoptar un enfoque de seguridad integral desde el inicio del desarrollo.
El ciclo de vida de seguridad en el desarrollo de software (S-SDLC) Centeno Castillo Esmeralda Gomez Olivares Jose Alberto 8°Cuatrimestre En los últimos tiempos lo que se busca es introducir seguridad en este proceso, ya que todo desarrollo tiene sus fases principales (como se muestra en la siguiente imagen en la parte de la izquierda), lo que se intenta introduciendo la seguridad es definir unas fases paralelamente para a la vez que se va ejerciendo el trabajo se vaya considerando la seguridad en el mismo (como se muestra en la imagen de la derecha): En las imágenes siguiente podemos ver que cada fase tiene su correspondiente fase de seguridad, por ejemplo, en el momento que se están realizando pruebas del correcto funcionamiento de la aplicación, se debería de realizar una auditoría dinámica de la misma en la que se puedan ver las vulnerabilidades antes de la fase de producción. La implementación de medidas de seguridad debe hacerse desde el inicio del Ciclo de Vida del Desarrollo del Software, ya que el coste de solucionar cualquier problema de seguridad es mayor cuanto más tarde se detecte, como se observa en el siguiente gráfico: Al final en muchas organizaciones o departamentos de desarrollo para no implementar seguridad en los mismos, solemos poner muchísimas excusas que obviamente no son validas como por ejemplo las siguientes:
Nadie sabe cómo funciona, por ende, no la van a
atacar. (Un atacante invertirá el tiempo que necesite para saber como funciona…)
Si no se encontraron vulnerabilidades hasta
ahora (Un atacante encontrara una o varias vulnerabilidades con tan solo un vistazo en la misma…) Si no corre como Administrator / root, no puedes hacer nada peligroso. (Obviamente esto es una buena práctica de seguridad, pero que el usuario tenga pocos privilegios no indica que la aplicación sea segura…)
A nadie le interesaría atacar nuestra
aplicación. (Existen millones de bots o sistemas automáticos escaneando constantemente en búsqueda de deficiencias de seguridad…) Microsoft lleva años invirtiendo en la Entre todas las excusas posibles seguridad dentro del ciclo de vida del para no implementar la seguridad en software. En 2004 sacó por primera el SDLC la que más se suele vez este modelo público y gratuito. escuchar el “No hay tiempo para incluir la seguridad”, ya que la Existen varias versiones que se mayoría de los desarrollos van muy pueden estudiar a la hora de ajustados de tiempo y es más integrarse en desarrollos más o importante poner algo en producción menos grandes. En primer lugar, en el plazo adecuado que incluir la vamos a identificar el proceso que seguridad en cada una de sus partes. define Microsoft y que nos sugiere que tenemos que adoptar a la hora de construir nuestro software:
Hay que pensar que “Más vale prevenir
que curar”, por lo que es mucho más productivo y menos comprometedor evitar o detectar un ataque para el desarrollo que restaurar el estado tras un ataque exitoso. Una vez que la misma se encuentre implementada, Por ende, se aconseja a todas las toda la seguridad se empresas, realizar esta estructura a realizara de forma autónoma nivel general siempre como normativa y entrara dentro de los interna y aplicarla a todos los procesos habituales desarrollos que se hagan en las continuos de la compañía. mismas.
Ciclo de vida del Desarrollo de Software
También disponemos de Otra etapa importante en la que es herramientas que abordan los necesario apoyarnos en herramientas problemas de seguridad en otras para facilitar la detección de fases del ciclo de vida del software, vulnerabilidades,es la fase de testing, como la implementación o el testing. ya sea desde el punto de vista funcional o técnico. Este último punto Por ejemplo, las herramientas de dependerá de la plataforma análisis de código estático tecnológica sobre la que se habitualmente eran procesos que se desarrolle el software, ya que no es ejecutaban en back para todo el lo mismo realizar testing sobre una conjunto del código del proyecto. Sin web, que una aplicación stand-alone embargo, hoy en día, podemos o un dispositivo IoT. encontrar herramientas que se integran en los IDE’s de desarrollo, Actualmente, podemos encontrar facilitando el análisis en tiempo real y gran variedad de herramientas de agilizando, de esta manera la análisis de código estático. Entre las optimización, del código y el más utilizadas se encuentran: seguimiento de los estándares de Sonarqube, Fortify o Raxis. calidad.