segsoft

10 pages
0 views
of 10

Please download to get full document.

View again

All materials on our website are shared by users. If you have any questions about copyright issues, please report us to resolve them. We are always happy to assist you.
Share
Description
segsoft
Similar Documents
Tags
Transcript
   AsignaturaDatos del alumnoFecha Seguridad en el  Software  Apellidos: Rincón Peralta  22/09/2016 Nombre: Victor Julio  ActividadesTrabajo: Comparación de ciclos de vida de desarrollo de software  seguro (SS! C#Como actividad puntuable para el tema $% te propongo seguir pro&undi'ando en los modelos SS! C%reali'ando un trabajo ue contenga al menos el siguiente contenido:)ntroducción a los SS! C*!escripción resumida de los di&erentes tipos de SS! C*Comparación de los di&erentes SS! C% cubriendo al menos las siguientes caracter+sticas: o  Actividades de )ngenier+a de Reuisitos* o  Actividades de dise,o* o  Actividades de implementación* o  Actividades de pruebas de veri&icación - validación* o Recursos* o .so por la empresa* o /tc*Propuesta de un nuevo SS! C*Conclusiones*/0tensión m10ima de la actividad: 2 a $3 p1ginas% &uente 4eorgia $$ e interlineado $%5* INTRODUCCION a ma-or+a de vulnerabilidades se pueden solucionar en la &ase de desarrollo de los procesos de desarrollode aplicaciones por ello es importante tener en cuenta un desarrollo de so&t6are seguro -a ue es de altaimportancia en las compa,+as% debido a ue 7o- en d+a casi todas las empresas dependen altamente de susaplicaciones como parte integral de la operación normal* Por lo anterior es necesario implementare&ectivamente metodolog+as de desarrollo seguro ue se puedan aplicar en cada &ase del ciclo de vida de talmanera ue la seguridad este presente desde el inicio del proceso de desarrollo* 8ace tiempo la )ngenier+ade So&t6are - la )ngenier+a de Seguridad se ven+an desarrollando de &orma independiente% lo ueocasionaba ue la seguridad &uese considerada como parte del proceso de desarrollo so&t6are seguro%ocasionando inconsistencias en los procesos% cosa contraria a lo ue se 7ace 7o- en d+a* TEMA 1 – Actiidades   AsignaturaDatos del alumnoFecha Seguridad en el  Software  Apellidos: Rincón Peralta  22/09/2016 Nombre: Victor Julio Ti!os de S SD#C  Microsoft Trustworthy Computing SDL /ste es uno de los ciclos de vida m1s usados para la reali'ación de so&t6are seguro* /l esuema del SS! Cpropuesto es el siguiente:  $1%  9 los pasos ue se implementan son las siguientes:ormar a los desarrolladores en seguridad para ue todos los componentes se desarrollenconociendo las amena'as*  as tareas de seguridad en las actividades de reuisitos son: establecer ue reuisitos deseguridad e0isten en el pro-ecto% para ello puede necesitarse la participación de un asesor deseguridad en la implementación del S! * Se utili'ar1 la &igura del asesor como gu+a a trav;s de losprocedimientos del S! * /n este punto cada euipo de desarrollo debe tener en cuenta comoreuisitos las caracter+sticas de seguridad para cada &ase* Algunos reuisitos pueden aparecer aposteriori% por ejemplo% cuando se realice el modelo de amena'as*  as tareas de seguridad en las actividades de dise,o son: los reuisitos de dise,o con susnecesidades de seguridad uedar1n de&inidos* Se reali'ar1 documentación sobre los elementos uese encuentren en la super&icie de un ataue al so&t6are% -% por <ltimo% se reali'ar1 un modelo deamena'as% dónde pueden descubrirse nuevos reuisitos de seguridad*  as tareas de seguridad en las actividades de implementación son: aplicación de los est1ndares dedesarrollo - de pruebas* Posteriormente se aplicar1 so&t6are ue compruebe la seguridad* Adem1s% se reali'ar1n pruebas de code revie6* as tareas de seguridad en las pruebas de veri&icación - validación son: an1lisis din1mico sobre laaplicación% revisiones de código desde el punto de vista de la seguridad - pruebas centradas en laseguridad del so&t6are* TEMA 1 – Actiidades   AsignaturaDatos del alumnoFecha Seguridad en el  Software  Apellidos: Rincón Peralta  22/09/2016 Nombre: Victor Julio  Se necesita generar un plan de incidentes al &inal del proceso% una revisión &inal de toda laseguridad del proceso - crear un plan ejecutivo de respuesta ante incidentes% dónde se obtendr1 un&eedbac= de todo lo ue ocurre en la liberación del so&t6are* CLASP Comprehensive LIghtweight Application Security Process, de !ASP  C ASP es un conjunto de pie'as% el cual podr+a ser integrado en otros procesos de desarrollo de so&t6are*Tiene ciertas propiedades como son su &1cil adopción a otros entornos - la e&iciencia* Su &uerte es la riue'ade recursos de seguridad ue dispone% lo cual deber1 ser implementado en las actividades del S! C* Tieneesta &uer'a debido a ue >?ASP est1 detr1s de ello* C ASP se organi'a en cinco vistas:Concepts vie6  Role@ased vie6* Activit-Assesment vie6* Activit-)mplementation vie6* Vulnerabilit- vie6*Todas las vistas se interconectan entre s+% - este detalle es importante* os roles dentro de C ASP son mu- importantes - e0isten siete: gerente% aruitecto% ingeniero de reuisitos% dise,ador% codi&icador% tester - auditor de seguridad* Se puede ver ue la seguridad se encuentra incluida% con una &igura importante%dentro del proceso* Todos los roles deben estar en cualuier pro-ecto% sino no se cumplir+a C ASP* a vista Activit-Assesment es importante% -a ue identi&ica 3 actividades o tareas ue pueden ejecutarse*Son tareas relacionadas con la seguridad del desarrollo del so&t6are%Como por ejemplo la identi&icación de una pol+tica de seguridad% documentar los reuisitos relevantes conla seguridad% reali'ación de codesigning% etc;tera* a vista de vulnerabilidades es la encargada de clasi&icar los tipos de &allos de seguridad ue se puedanencontrar en el so&t6are* Consta de 5 subgrupos*B3  Mc#raw$s Propone unas prioridades para las tareas de seguridad - de este modo saber u; cosas tenemos ueproteger primero o tener en cuenta% las cuales se proponen en orden: TEMA 1 – Actiidades   AsignaturaDatos del alumnoFecha Seguridad en el  Software  Apellidos: Rincón Peralta  22/09/2016 Nombre: Victor Julio  Revisión de código (code revie6#* Tarea de an1lisis de código est1tico% el cual debe ser escritoteniendo conocimientos de seguridad - buenas pr1cticas de programación* ase deimplementación* An1lisis de riesgo* /sta tarea es ejecutada en tres &ases - es de vital importancia en la toma dedecisiones del proceso* ase de reuisitos% an1lisis% dise,o - testing* Test de intrusión (Pentesting#* Tanto en la &ase de testing como la liberación de la 7erramienta%este tipo de tareas pueden descubrir comportamientos anómalos en la 7erramienta* ase de testing* Test de caja negra basados en riesgos* ase de testing* Casos de abuso o &u''ing a los inputs de la 7erramienta para comprobar su comportamiento* asede testing* Reuisitos de seguridad por parte de los desarrolladores* ase de reuisitos - an1lisis* >peraciones de seguridad* An1lisis e0terno% no obligatorio* !urante todas las &ases* !riting Secure Code /ste modelo se divide en etapas% de las cuales tiene $D% - durante las distintas &ases se van reali'ando etapas para conseguir ue la aplicación sea segura*/n la etapa inicial se 7abla de educación al desarrollador en t;rminos de seguridad% esto se reali'a justo antes de comen'ar las actividades de dise,o de la aplicación* !urante esta &ase de dise,o tambi;n se cumplen las etapas de cuestiones relevantes a la seguridad - la reali'ación del modelado de amena'as*.na ve' &inali'ada la &ase de dise,o se reali'a una revisión del euipo de seguridad del dise,o de la aplicación* /n la &ase de implementación se crean documentos de seguridad% se preparan 7erramientas - se estudia las gu+as de buenas pr1cticas - codi&icación segura* /n la &ase de pruebas se utili'an las pol+ticasde prueba seguras% se revisan los &allos encontrados en el proceso 7asta el momento - se reali'a una revisióne0terna de la aplicación* /n la &ase de mantenimiento se reali'a una plani&icación deSeguridad ue indica como la empresa debe responder* TEMA 1 – Actiidades
Advertisement
Related Documents
We Need Your Support
Thank you for visiting our website and your interest in our free products and services. We are nonprofit website to share and download documents. To the running of this website, we need your help to support us.

Thanks to everyone for your continued support.

No, Thanks