Seguridad en el ciclo de vida del desarrollo de software

Seguridad en el ciclo de vida del desarrollo de software


Actualmente la mayoría de los procesos de desarrollo no incluyen seguridad, o bien la incluyen al final (etapa de testing). El costo de solucionar las vulnerabilidades es mayor cuanto más tarde se detectan las mismas (igual que los bugs).

Incorporar seguridad a lo largo de todas las etapas del ciclo de vida del desarrollo de software (SDLC).

- Análisis

- Diseño

- Codificación

- Testing

- Deployment

Buenas practicas para el diseño de una aplicación segura

- Fallar de manera segura

- Criterio de defensa en profundidad

- Diseño seguro de mensajes de error

- Diseño seguro de autenticación

- Administración segura informacióm sensible

- Diseño de auditoria y Logging

- Analisis de riesgo


Método STRIDE 

Ayuda a identificar amenazas en los componentes de un sistema. Su nombre es un acrónimo de:

Spoofing Identity: Suplantar la identidad de otro usuario o servicio.

Tampering with Data: Modificar maliciosamente datos almacenados.

Repudiation: Imposibilidad de identificar el autor de una acción.

Information Disclosure: Divulgar información a usuarios no autorizados.

Denial of Service: Provocar que un servicio deje de funcionar.

Elevation of privilege: Conseguir privilegios mayores a los asignados.


Arboles de ataque



Tipos de vulnerabilidades mas habituales

Stack buffer overflows
Heap buffer overflows
SQL Injections
Cross Site Scripting (XSS)
Directory Traversal
Authentication Bypass
Information Disclosure
Escalamiento de privilegios
Manejo inseguro de sesiones
Denegación de servicio

Tecnicas de testing de seguridad

Testing de seguridad funcional
Testing de seguridad basado en Riesgo
Testing con un cliente / server falso
Test de stress
Test de mutación de datos
Revisión de código


Cuestionario



Comentarios

Publicar un comentario

Entradas populares de este blog

Mapa conceptual conjuntos - Mónica Erazo

Imagen
En esta entrada podrás encontrar un mapa conceptual acerca de una parte de la Unidad 2 del curso de Matemáticas Discretas de la tecnología en desarrollo de software en la Institución Universitaria Pascual Bravo. En el mapa conceptual se abordan los conceptos asociados a los conjuntos y a sus características, se comienza por los conceptos básicos pero de mucha importancia como: conjuntos, elementos, pertenencia, conjuntos por extensión y por comprensión, luego los tipos de conjuntos y finalmente las operaciones entre estos; los conjuntos entendidos dentro de este modulo como la colección de objetos distintos. Link  https://www.goconqr.com/es-ES/mindmap/29874318/Conjuntos  Fuentes de la información en el mapa conceptual:  Antonia Huertas Sanchez, María Manzano (2002). Teoría de conjuntos  https://webs.ucm.es/info/pslogica/teoriaconjuntos.pdf Nociones básicas de teoría de  conjuntos.
Leer más

Presentación Induccion

Imagen
Cordial saludo,✋ Mi nombre es Mónica Selena Erazo Polo, tengo 22 años. Actualmente me encuentro estudiando la tecnología en desarrollo de software (virtual), ademas estoy estudiando una licenciatura en matemáticas y una técnica en producción audiovisual. Como hobbie administro dos paginas en Facebook, una sobre la saga Star Wars y otra sobre el mundo del cine. Realmente espero aprender en este programa de desarrollo de software, creo que por fin hare mi sueño realidad de saber programar, un interés que comenzó en 2015 cuando la serie de televisión Mr Robot se estrenó.
Leer más

Manejo estatico de las variables en memoria

Una vez vistos los videos titulados Estructuras estáticas y dinámicas, y Arrays(Arreglos) Vectores (17-25) programación en C# . Net con Visual Studio 2013. a) ¿Cómo se indica en un programa en C# que una linea no es ejecutable sino un comentario? b) ¿Qué utilidad tienen las líneas de comentarios en un programa? c) El compilador chequea que las posiciones del vector en ejecución sean menores que el tamaño declarado del vector, ¿Cuál es la razón para declarar los vectores antes de entrar en ejecución? Solución a)   En  C# una linea que no es ejecutable es un comentario, se coloca de la siguiente manera, al inicio se escribe dos slash //, también si de lo que se trata es un comentario multilínea, se denota /* abcdwiodj * \. b )  La utilidad de los comentarios radica en que hacen que el programa se vuelva mas legible, además  permiten conoces a fondo las funcionalidades, además de comentar la razón  por la que se implementan, y por ultimo sirve cuando un p...
Leer más