Introducción a los S-SDLC
Enviado por rafarghu • 7 de Septiembre de 2019 • Trabajos • 3.895 Palabras (16 Páginas) • 188 Visitas
Introducción a los S-SDLC
En la actualidad cualquier organización independiente de que sea de ámbito privado o público ni la actividad o la magnitud de esta que realicen, implementan en algunos o todos sus procesos por lo menos una solución de software, ya sean pequeñas o grandes soluciones web o de escritorio con el propósito de lograr eficientemente sus objetivos y/o de facilitar sus labores diarias.
Tradicionalmente los desarrolladores de estas soluciones ponderaban su cumplimiento o calidad basados en la funcionabilidad, para lograr este objetivo se se implementaron diferentes metodologías de desarrollo de software. Entre ellas, el modelo en cascada ,el modelo en espiral y las metodologías agiles.
Tomando por ejemplo el modelo en cascada que se llevaba a cabo de forma lineal y secuencial cumplía los objetivos del desarrollo de software, al aumentar la demanda se hizo evidente la necesidad de desarrollar el software en el menor tiempo posible lo que dio inicio a la aparición de metodologías agiles y la posterior adopción de la filosofía “Devops”.
Todas estas metodologías cumplían os objetivos trazados anteriormente en cuanto al desarrollo del software, pero en aras de lograrlo descuidaban un componente sumamente importante : La Seguridad.
En la mayoría de los casos cuando se concluia el desarrollo del software es cuando se pensaba en integrar mecanismos de protección. No sobra recordar que esta es una visión totalmente errónea ya que desde las primeras fases del desarrollo se deben de integrar el componente de seguridad.
Según ( MacGraw, Software Security, 2006) la seguridad del software es una idea de la ingeniería de software que busca que un producto desarrollado siga funcionando correctamente ante ataques maliciosos.es la construcción de software que pueda resistir proactivamente los ataques, además que un aspecto critico de los problemas de seguridad, son los problemas que presenta el software mismo.
La escasa implementación de mecanismos de seguridad en el desarrollo de software permite que fácilmente un ciberdelincuente afecte directamente los pilares de la seguridad de la información como son la confidencialidad, integridad y disponibilidad, generando pérdidas importantes además de afectar la reputación de la organización.
Basados en estas premisas se desarrollaron metodologías para implementar un conjunto de principios de diseño y buenas practicasen el ciclo de vida de desarrollo de software (SDLC) para detectar, prevenir y corregir los defectos de seguridad en el desarrollo y adquisición de software de manera que el producto sea de confianza y robusto frente a ataques intencionados o no, que esté libre de vulnerabilidades, que realice solo las funciones para la cual fue diseñado y sobre todo que soporte los pilares de la seguridad.
Estas nuevas metodologías que logran estos objetivos son las que dan nombre a un nuevo ciclo de vida de desarrollo de software con buenas prácticas de seguridad incorporadas y que se denomina ciclo de vida de desarrollo de software seguro (S-SDLC)
Descripción resumida de diferentes tipos de S-SDLC.
A continuación, se presenta una descripción resumida de algunos tipos de ciclo de vida de desarrollo de software seguro existen muchos más pero para el desarrollo de este trabajo hemos escogido los siguientes :
Microsoft Trustworthy Computing SDL
Este ciclo de vida es una metodología para el control de seguridad orientado al desarrollo de software, es una iniciativa de Microsoft y una directiva obligatoria desde 2004.
Es muy popular y utilizado por empresas que buscan realizar software seguro.
En la siguiente imagen se presenta el esquema de este ciclo.
[pic 1]
Como lo muestra la imagen los pasos o tareas a seguir son : Training, Requeriments , Design, Implementation, Verification, Release, Response.
- En la tarea de Training o entrenamiento se capacita a los desarrolladores en seguridad para que el software se desarrolle conociendo las amenazas.
- En la tarea de Requeriments o requisitos se definen que requisitos de seguridad se deben de implementar en el proyecto.
- En la tarea de Design o diseño se definen los requisitos del diseño con sus necesidades de seguridad.
- En la tarea de Implementation o implementación se aplican los estandares de desarrollo y de pruebas, se aplica software para comprobar la seguridad y se realizan pruebas de “Code Review”
- En la tarea de Verification o verificación y validación se realiza un análisis dinámico de la aplicación, revisión del código desde el punto de vista de la seguridad y pruebas de seguridad al software.
- En la tarea de Release o lanzamiento se genera un plan ejecutivo de respuesta ante incidentes, se realiza una revisión final a toda la seguridad y se obtiene un archivo con todo lo que ocurre durante el lanzamiento.
- En la tarea de Reponse o respuesta a incidentes se ejecuta y comprueba el plan de respuesta a incidentes generado anteriormente, en caso de ser necesario.
Comprehensive Lightweight Application Security Process. (CLASP)
Es un conjunto de buenas prácticas para el desarrollo seguro de software desarrollado por varias compañías de seguridad que forman parte del consorcio OWASP (Open Web Application Security Project), que permite integrar en cualquier fase del SDLC independiente de la metodología implementada.
A continuación, se presenta una visión general de la estructura del proceso CLAPS. Y la dependencia entre sus componentes:
- CLASP Views ( Vistas CLASP)
- CLASP Best Practices (Mejores prácticas de CLASP)
- 24 CLASP Activities (24 actividades CLASP
- CLASP Resources (including CLASP Keywords) ( Recursos CLASP(incluidas . las palabras clave CLASP )
Vistas CLASP : El proceso CLASP se presenta a través de cinco perspectivas de alto nivel llamadas Vistas CLASP. Estas vistas permiten a los usuarios de CLASP comprender rápidamente el proceso de CLASP, incluido cómo interactúan los componentes del proceso de CLASP y cómo aplicarlos a un ciclo de vida de desarrollo de software específico.
...