Ciclo de vida de desarrollo de seguridad y seguridad de aplicaciones web

Enviado por leonardo3d33 • 10 de Julio de 2019 • Apuntes • 8.460 Palabras (34 Páginas) • 167 Visitas

Página 1 de 34

(Security Development Lifecycle & Web Application Security) (Diapositiva 1)

El taller de Principios de diseño seguro presenta la función que cumple el ciclo de vida del desarrollo de la seguridad de Microsoft (SDL) en el diseño de aplicaciones de confianza y proporciona una descripción general de los principios de diseño seguro empleados en la SDL, que incluyen:

reducción de la superficie de ataque; privacidad básica; modelado de amenazas; defensa en profundidad; privilegios mínimos; y valores predeterminados de seguridad.

Abordar este tema permitirá a nuestra organización mejorar nuestras prácticas de desarrollo de aplicaciones y la seguridad de nuestras aplicaciones

El objetivo de este curso es proporcionar una descripción general del proceso SDL de Microsoft y sus fases. Le proporcionará información valiosa sobre herramientas y técnicas útiles que lo ayudarán a crear un software más seguro.

En este curso, nosotros:

Mire el ciclo de vida del desarrollo de seguridad de Microsoft (SDL)

Revise brevemente algunos conceptos de diseño, desarrollo y prueba seguros

Explore los problemas de seguridad que surgen si estos principios de diseño, codificación y prueba no se aplican correctamente

Esto le proporcionará información que puede utilizar para hacer que su software sea más seguro.

Nota: Este curso está destinado a familiarizarse con los principios y principios de diseño de seguridad.

Road Map - Mapa vial (Diapositiva 2)

Introducción: Amenazas de seguridad y conceptos del ciclo de vida del desarrollo de la seguridad (SDL)

Principios de diseño seguro

Principios de modelado de amenazas de SDL

Principios de implementación segura

Principios de verificación de seguridad

SDL en Application Lifecycle Management (ALM) con servicios de DevOps de Azure

Los 10 principales riesgos de seguridad de aplicaciones web de OWASP

¿Qué es SDL? What’s SDL? (Diapositiva 3)

El ciclo de vida del desarrollo de la seguridad (SDL, por sus siglas en inglés) es un proceso de desarrollo de software que ayuda a los desarrolladores a crear un software más seguro y cumplir con los requisitos de cumplimiento de seguridad, al tiempo que reduce los costos.

https://www.microsoft.com/en-us/sdl - aquí es donde se define la definición anterior.

El ciclo de vida del desarrollo de la seguridad (SDL) es un proceso de garantía de seguridad que se centra en el desarrollo de software. Como una iniciativa de la empresa y una política obligatoria desde 2004, la SDL ha desempeñado un papel fundamental en la integración de la seguridad y la privacidad en el software y la cultura de Microsoft. Combinando un enfoque holístico y práctico, el objetivo de SDL es reducir la cantidad y la gravedad de las vulnerabilidades en el software. El SDL introduce seguridad y privacidad en todas las fases del proceso de desarrollo.

Microsoft SDL se basa en tres conceptos básicos: educación, mejora continua de procesos y responsabilidad. La educación y capacitación continua de los roles de trabajo técnico dentro de un grupo de desarrollo de software es crítica. La inversión adecuada en la transferencia de conocimiento ayuda a las organizaciones a reaccionar adecuadamente a los cambios en la tecnología y el panorama de amenazas. Debido a que el riesgo de seguridad no es estático, el SDL pone un gran énfasis en comprender la causa y el efecto de las vulnerabilidades de seguridad y requiere una evaluación regular de los procesos de SDL y la introducción de cambios en respuesta a los nuevos avances tecnológicos o nuevas amenazas. Los datos se recopilan para evaluar la efectividad de la capacitación, las métricas en proceso se utilizan para confirmar el cumplimiento del proceso y las métricas posteriores al lanzamiento ayudan a guiar los cambios futuros. Finalmente, el SDL requiere el archivo de todos los datos necesarios para dar servicio a una aplicación en una crisis. Cuando se combina con una respuesta de seguridad detallada y planes de comunicación, una organización puede brindar una orientación concisa y convincente a todas las partes afectadas.

Participantes y roles en el proceso de SDL (Diapositiva 4)

Gerentes / Gerencia Soporta la implementación de SDL dentro de la organización. Institutos requisitos de cumplimiento para la formación. Apoya los esfuerzos de entrenamiento de SDL Equipo de desarrollo (PM, Dev, Test) Desarrolla productos con las mejores prácticas de seguridad utilizando el conocimiento obtenido de la capacitación de SDL. Asesor de seguridad Actúa como enlace entre los equipos de desarrollo y seguridad. Revisa los artefactos generados durante el proceso de lanzamiento de SDL Proporciona experiencia / orientación sobre la mitigación de problemas de seguridad descubiertos cuando sea necesario Realiza la revisión final de seguridad del producto antes del lanzamiento.

(Diapositiva 5)

[pic 1]

Gol:

Reduce el número de vulnerabilidades en tu código

Reduzca la severidad de las vulnerabilidades que echa de menos.

El proceso de Microsoft SDL

El SDL es un proceso de garantía de seguridad de desarrollo de software que consiste en prácticas de seguridad agrupadas por siete fases del ciclo de vida tradicional del desarrollo de software. Las experiencias en Microsoft han demostrado que las prácticas de seguridad ejecutadas en orden cronológico ayudaron a obtener mayores ganancias de seguridad y beneficios de costos que a partir de la implementación ad hoc. El proceso SDL no es específico de Microsoft ni de la plataforma Windows y puede aplicarse a diferentes sistemas operativos, plataformas, metodologías de desarrollo y proyectos de cualquier tamaño.

Pre-SDL Requisitos: Entrenamiento seguridad (Diapositiva 6)

Evaluar el conocimiento de la organización sobre seguridad y privacidad y establecer un programa de capacitación según sea necesario

Establecer criterios de formación.

Contenido que cubre diseño, desarrollo, prueba y privacidad seguros.

Establecer frecuencia mínima de entrenamiento.

Los empleados deben asistir a n clases por año.

Establecer umbrales mínimos aceptables de entrenamiento en grupo.

Objetivos de capacitación organizativa (por ejemplo, el 80% de todo el personal técnico capacitado antes del producto RTM)

...

Descargar como (para miembros actualizados) txt (57.7 Kb) pdf (490.6 Kb) docx (2.3 Mb)

Leer 33 páginas más »

Leer documento completo Guardar

Disponible sólo en Clubensayos.com

Información sobre ensayo

prev next

Denunciar este ensayo

Ensayos relacionados

Plataformas de desarrollo de Aplicaciones Web orientadas a Componentes reutilizables
Tesis Plataformas de desarrollo de Aplicaciones Web orientadas a Componentes reutilizables Alumnos: Profesores: Índice AGRADECIMIENTOS.............................................................................................1 INTRODUCCIÓN.....................................................................................................2 Aplicaciones Web......................................................................................................2 Ejemplos....................................................................................................................3 Tecnologías................................................................................................................3 Primera generación – CGI.........................................................................................4 Scripting....................................................................................................................4

1 Páginas • 941 Visualizaciones
Desarrollo de Aplicaciones Web con Java aplicando el patrón de diseño MVC Sin Utilizar un Framework
Desarrollo de Aplicaciones Web con Java aplicando el patrón de diseño MVC Sin Utilizar un Framework Jacob Ávila Camacho1, Adolfo Melendez Ramírez1, Valentín Roldán Vázquez2

3 Páginas • 895 Visualizaciones
Desarrollo De Aplicaciones Web
¿Que es una aplicación web? Una aplicación web es cualquier aplicación que es accedida vía web por una red como internet o una intranet. Las

6 Páginas • 1582 Visualizaciones
Seguridad en aplicaciones web
Lectura comprensiva de seguridad en aplicaciones web Jesús rodríguez carrillo Autenticación El objetivo de la autenticación es un objetivo muy claro ya que es proporcionar

4 Páginas • 600 Visualizaciones
Desarrollo de Aplicaciones web con JPA, EJB, JSF y PrimeFaces
Desarrollo de Aplicaciones web con JPA, EJB, JSF y PrimeFaces Fernando Pech-May1, Mario A. Gomez-Rodriguez1, Luis A. de la Cruz-Diaz1, Salvador U. Lara-Jeronimo1 1Instituto Tecnológico

3 Páginas • 763 Visualizaciones
Desarrollo de aplicaciones web en el ámbito de las empresas
\ UNIVERSIDAD TECNOLÓGICA NACIONAL Facultad Regional Buenos Aires Ingeniería en Sistemas de Información Proyecto (95-2037) AÑO 2008 Estudio de Factibilidad Operativa, Técnica y Análisis FODA

7 Páginas • 563 Visualizaciones
DESARROLLO DE APLICACIONES WEB
PROGRAMACION WEB DESARROLLO DE APLICACIONES WEB Introducción Con la introducción de Internet y del Web, se han abierto infinidad de posibilidades en cuanto al acceso

12 Páginas • 1665 Visualizaciones
Desarrollo de Aplicaciones Web con Visual Studio.NET
Desarrollo de Aplicaciones Web con Visual Studio.NET Duración: 250 horas. Descripción del curso: Al final del curso los estudiantes serán capaces de comprender el marco

4 Páginas • 615 Visualizaciones
La protección de la vida, salud y seguridad del consumidor
CAPITULO 1,2,3 El objeto de la ley es promover y proteger los derechos y cultura del consumidor y procurar la equidad, certeza y seguridad jurídica

6 Páginas • 446 Visualizaciones
Desarrollo de una aplicación web para venta de servicios
ÍNDICE B.1. Título. 6 B.2. Introducción del tema. 6 B.3. Problematización. 7 B.3.1. Diagnóstico. 7 B.3.2. Formulación. 8 B.3.3. Sistematización. 8 B.4. Justificación. 9 B.5.

15 Páginas • 577 Visualizaciones