SlideShare una empresa de Scribd logo

Guia para desarrollo de software seguro

Descargar como DOCX, PDF
Jesus Manuel Gilbert Castro
Jesus Manuel Gilbert Castro

Aquí podemos ver de forma resumida algunas pautas y herramientas para el desarrollo de software seguro

Tecnología
1 de 5
Desarrollo de software seguro Medidas a tomar en cuenta. Unas de las grandes necesidades en el desarrollo de software web/desktop es la falta de seguridad. La seguridad en un software es clave principal para la sostenibilidad y ciclo de vida del mismo pues nadie confía en las inseguridades que nos ofrecen. En esta guía vamos a resumir los principales puntos y herramientas necesarias para el desarrollo de un software seguro tanto para el ambiente web como para aplicaciones de escritorio y/o aplicaciones de software libre, todo esto guiado a un entorno empresarial, administrativo y de madurez. Algunas preguntas que debemos hacernos cuando vamos a construir un software seguro. • ¿Diseñado, construido y probado para su seguridad? • ¿Continúa ejecutándose correctamente bajo ataque? • ¿Diseñado con el fallo en mente? ¿Qué debemos conseguir para crear un software seguro? • Adoptar un modelo de madurez de desarrollo de software • Debemos considerar la seguridad del software desde el principio hasta el final Todas estas preguntas nos guían a un solo camino, Modelos de seguridad y me refiero en plural a este porque no solo nos debemos guiar por un solo modelo sino que debemos explorar los mejores modelos para saber cuál es el que más se ajusta a nuestras necesidades para hacer una buena práctica del desarrollo de software seguro.
S-SDLC (Secure Software Development Life Cycle) Como clave de para el desarrollo de software seguro. ¿Qué es S-SDLC? Ciclo de Vida de Desarrollo de Software seguro describe las fases del ciclo del software y el orden en que esas fases se ejecutan de acuerdo a los requerimientos del negocio. Con el fin de implementar las aplicaciones que se requieren para proporcionar un procesamiento seguro. Esquema SDLC
Otras Iniciativas de seguridad en el desarrollo de software Microsoft SDL El modelo de optimización de SDL está estructurado en torno a cinco áreas de capacidades que, en líneas generales, se corresponden con las fases del ciclo de vida de desarrollo de software: 1) Formación, directivas y capacidades organizativas 2) Requisitos y diseño 3) Implementación 4) Comprobación 5) Lanzamiento y respuesta ¿Donde aplicar SDL? 1) Aplicaciones implementadas en un entorno empresarial 2) Aplicaciones que procesan información de identificación personal 3) Aplicaciones que se comunican frecuentemente a través de Internet u otras redes OWASP CLASP Open Web Application Security Project (Proyecto abierto de seguridad de aplicaciones web ), Es un proyecto de código abierto dedicado a determinar y combatir las causas que hacen que el software sea inseguro ¿Qué nos ofrece OWASP? • Búsqueda y lucha contra las causas de software inseguro • Creación de herramientas, documentación y estándares • Conferencias • Recursos gratuitos y de código abierto • www.owasp.org
Medidas estándar que debemos tomar para el desarrollo de software seguro 1. Para desarrollar una aplicación segura debemos considerar los siguientes aspectos  Control de la entrada: validar todas las entradas.  Gestión de memoria: desbordamiento de buffers.  Estructura interna y diseño del programa.  Llamadas a recursos externos: bibliotecas, scripts.  Control de la salida: formato, restricciones.  Problemas de los lenguajes de programación.  Otros: algoritmos criptográficos, de autentificación. 2. Control de la entrada  Hay que validar todas las entradas que vienen de fuentes no fiables.  Se debe determinar qué es legal y rechazar lo que no lo sea.  Siempre se debe verificar que algo es legal, la aproximación contraria (detección de entradas erróneas) puede fallar.  El sistema se debe verificar generando entradas erróneas desconocidas.  Hay que limitar la longitud máxima de la entrada 3. Vigilar caracteres especiales  Caracteres de control.  Caracteres especiales para el Shell, SQL, etc.  Delimitadores (p. ej. tabuladores, comas,:, etc.).  Verificar la codificación y decodificación de URLs y la validez de los juegos de caracteres.  Minimizar las decodificaciones; no decodificar más de una vez de modo inndecesario.  Números: verificar máximos, mínimos y ceros. 4. Validación de otros tipos de datos
 Direcciones de correo: ver RFC 2822 y 822.  Nombres de fichero: Omitir caracteres especiales (/, 'n', '”', ...), omitir '../'.  Expresiones regulares.  Cookies: comprobar dominios.  HTML/XML: prevenir cross-posting.  URI/URL: validar antes de procesar.

Recomendados

gestion-de-riesgos-iso-27005-completo_compress.pdf
gestion-de-riesgos-iso-27005-completo_compress.pdfgestion-de-riesgos-iso-27005-completo_compress.pdf
gestion-de-riesgos-iso-27005-completo_compress.pdfcarlosandres865046
 
Seguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del softwareSeguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del softwareAnel Sosa
 
Nist
NistNist
NistYessica B. Leyva Avalos
 
Iso 12207
Iso 12207Iso 12207
Iso 12207Edsel Barbosa González
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799Freddy Fernando Cajamarca Sarmiento
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...Luis Fernando Aguas Bucheli
 
Easy case
Easy caseEasy case
Easy caseSalomé Jara
 
Tema - Norma de Calidad ISO 9126.pptx
Tema - Norma de Calidad ISO 9126.pptxTema - Norma de Calidad ISO 9126.pptx
Tema - Norma de Calidad ISO 9126.pptxLucianoZA
 

Recomendados

gestion-de-riesgos-iso-27005-completo_compress.pdf
gestion-de-riesgos-iso-27005-completo_compress.pdfgestion-de-riesgos-iso-27005-completo_compress.pdf
gestion-de-riesgos-iso-27005-completo_compress.pdfcarlosandres865046
 
Seguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del softwareSeguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del softwareAnel Sosa
 
Nist
NistNist
NistYessica B. Leyva Avalos
 
Iso 12207
Iso 12207Iso 12207
Iso 12207Edsel Barbosa González
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799Freddy Fernando Cajamarca Sarmiento
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...Luis Fernando Aguas Bucheli
 
Easy case
Easy caseEasy case
Easy caseSalomé Jara
 
Tema - Norma de Calidad ISO 9126.pptx
Tema - Norma de Calidad ISO 9126.pptxTema - Norma de Calidad ISO 9126.pptx
Tema - Norma de Calidad ISO 9126.pptxLucianoZA
 
Capitulo 2
Capitulo 2Capitulo 2
Capitulo 2AlvaRado22
 
cmmi-dev
cmmi-devcmmi-dev
cmmi-devSam Camacho
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Iestp Instituto Superior
 
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSIISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSIUCC
 
Análisis comparativo
Análisis comparativo Análisis comparativo
Análisis comparativo Abby Ramirez
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informaticaCarlos Cardenas Fernandez
 
ISO 27005 Monitoreo y revisión de riesgos.pptx
ISO 27005 Monitoreo y revisión de riesgos.pptxISO 27005 Monitoreo y revisión de riesgos.pptx
ISO 27005 Monitoreo y revisión de riesgos.pptxMiguelMona
 
Ciclo Vida del Software
Ciclo Vida del SoftwareCiclo Vida del Software
Ciclo Vida del SoftwareWilfredo Mogollón
 
Herramientas case
Herramientas caseHerramientas case
Herramientas caseJunior Solano de Arco
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaEnrique Cabello
 
Curso: Introducción a la seguridad informática: Sílabo
Curso: Introducción a la seguridad informática: SílaboCurso: Introducción a la seguridad informática: Sílabo
Curso: Introducción a la seguridad informática: SílaboJack Daniel Cáceres Meza
 
Diagrama hipo
Diagrama hipoDiagrama hipo
Diagrama hipoJorgeAlbertoTticaOva1
 
Herramientas Case
Herramientas CaseHerramientas Case
Herramientas Caseguestf131a9
 
Trabajo cuadro comparativo
Trabajo cuadro comparativoTrabajo cuadro comparativo
Trabajo cuadro comparativoJuan Carlos Gonzalez
 
Calidad de software
Calidad de softwareCalidad de software
Calidad de softwareHermes Romero
 
seguridad de los sistemas operativos
seguridad de los sistemas operativos seguridad de los sistemas operativos
seguridad de los sistemas operativos Carlos Guerrero
 
Presentacion herramientas CASE
Presentacion herramientas CASEPresentacion herramientas CASE
Presentacion herramientas CASEdavidsande
 
Modelo 4+1
Modelo 4+1Modelo 4+1
Modelo 4+1Israel Rey
 
Modelo de madurez de capacidades integrado
Modelo de madurez de capacidades integrado Modelo de madurez de capacidades integrado
Modelo de madurez de capacidades integrado andrual125
 
AUDITORIA INFORMATICA
AUDITORIA INFORMATICAAUDITORIA INFORMATICA
AUDITORIA INFORMATICAJosefernandezzafra
 
Cómo redireccionar mi correo gmail
Cómo redireccionar mi correo gmailCómo redireccionar mi correo gmail
Cómo redireccionar mi correo gmailimathings
 
Presentación reconocimiento ingresos
Presentación reconocimiento ingresosPresentación reconocimiento ingresos
Presentación reconocimiento ingresosGabriel Budiño
 

Más contenido relacionado

La actualidad más candente

Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Iestp Instituto Superior
 
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSIISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSIUCC
 
Análisis comparativo
Análisis comparativo Análisis comparativo
Análisis comparativo Abby Ramirez
 
ISO 27005 Monitoreo y revisión de riesgos.pptx
ISO 27005 Monitoreo y revisión de riesgos.pptxISO 27005 Monitoreo y revisión de riesgos.pptx
ISO 27005 Monitoreo y revisión de riesgos.pptxMiguelMona
 
Curso: Introducción a la seguridad informática: Sílabo
Curso: Introducción a la seguridad informática: SílaboCurso: Introducción a la seguridad informática: Sílabo
Curso: Introducción a la seguridad informática: SílaboJack Daniel Cáceres Meza
 
Herramientas Case
Herramientas CaseHerramientas Case
Herramientas Caseguestf131a9
 
seguridad de los sistemas operativos
seguridad de los sistemas operativos seguridad de los sistemas operativos
seguridad de los sistemas operativos Carlos Guerrero
 
Presentacion herramientas CASE
Presentacion herramientas CASEPresentacion herramientas CASE
Presentacion herramientas CASEdavidsande
 
Modelo de madurez de capacidades integrado
Modelo de madurez de capacidades integrado Modelo de madurez de capacidades integrado
Modelo de madurez de capacidades integrado andrual125
 

La actualidad más candente (20)

Capitulo 2
Capitulo 2Capitulo 2
Capitulo 2
 
cmmi-dev
cmmi-devcmmi-dev
cmmi-dev
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
 
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSIISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
 
Análisis comparativo
Análisis comparativo Análisis comparativo
Análisis comparativo
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
 
ISO 27005 Monitoreo y revisión de riesgos.pptx
ISO 27005 Monitoreo y revisión de riesgos.pptxISO 27005 Monitoreo y revisión de riesgos.pptx
ISO 27005 Monitoreo y revisión de riesgos.pptx
 
Ciclo Vida del Software
Ciclo Vida del SoftwareCiclo Vida del Software
Ciclo Vida del Software
 
Herramientas case
Herramientas caseHerramientas case
Herramientas case
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Curso: Introducción a la seguridad informática: Sílabo
Curso: Introducción a la seguridad informática: SílaboCurso: Introducción a la seguridad informática: Sílabo
Curso: Introducción a la seguridad informática: Sílabo
 
Diagrama hipo
Diagrama hipoDiagrama hipo
Diagrama hipo
 
Herramientas Case
Herramientas CaseHerramientas Case
Herramientas Case
 
Trabajo cuadro comparativo
Trabajo cuadro comparativoTrabajo cuadro comparativo
Trabajo cuadro comparativo
 
Calidad de software
Calidad de softwareCalidad de software
Calidad de software
 
seguridad de los sistemas operativos
seguridad de los sistemas operativos seguridad de los sistemas operativos
seguridad de los sistemas operativos
 
Presentacion herramientas CASE
Presentacion herramientas CASEPresentacion herramientas CASE
Presentacion herramientas CASE
 
Modelo 4+1
Modelo 4+1Modelo 4+1
Modelo 4+1
 
Modelo de madurez de capacidades integrado
Modelo de madurez de capacidades integrado Modelo de madurez de capacidades integrado
Modelo de madurez de capacidades integrado
 
AUDITORIA INFORMATICA
AUDITORIA INFORMATICAAUDITORIA INFORMATICA
AUDITORIA INFORMATICA
 

Destacado

Cómo redireccionar mi correo gmail
Cómo redireccionar mi correo gmailCómo redireccionar mi correo gmail
Cómo redireccionar mi correo gmailimathings
 
Presentación reconocimiento ingresos
Presentación reconocimiento ingresosPresentación reconocimiento ingresos
Presentación reconocimiento ingresosGabriel Budiño
 
Infraestructura de medición avanzada (AMI) en las redes inteligentes
Infraestructura de medición avanzada (AMI) en las redes inteligentesInfraestructura de medición avanzada (AMI) en las redes inteligentes
Infraestructura de medición avanzada (AMI) en las redes inteligentesAlianza FiiDEM, AC
 
Cuadro de area biblioteca universitaria
Cuadro de area biblioteca universitariaCuadro de area biblioteca universitaria
Cuadro de area biblioteca universitariatatiana130884
 
Tecnologia de Nube
Tecnologia de NubeTecnologia de Nube
Tecnologia de Nubemairod1002
 
Explicacion de las reacciones de los tubos
Explicacion de las reacciones de los tubosExplicacion de las reacciones de los tubos
Explicacion de las reacciones de los tubosNatalia Montenegro
 
Sistema de impresion ctp..
Sistema de impresion ctp..Sistema de impresion ctp..
Sistema de impresion ctp..Carlos G Mora
 
Crear tus propios Comics
Crear tus propios ComicsCrear tus propios Comics
Crear tus propios Comicsmdlcarmenp
 
Medicion de nivel
Medicion de nivelMedicion de nivel
Medicion de niveljoanarceh
 
Sistema de unidades patrones y calibracion
Sistema de unidades patrones y calibracionSistema de unidades patrones y calibracion
Sistema de unidades patrones y calibracionIng Miguel Angel Reyes
 
Ppt construcción de un sitio web
Ppt construcción de un sitio webPpt construcción de un sitio web
Ppt construcción de un sitio webNorber Barraza
 
Componentes de un equipo de resonancia magnética
Componentes de un equipo de resonancia magnéticaComponentes de un equipo de resonancia magnética
Componentes de un equipo de resonancia magnéticamdpmadpmadp
 
Seguridad en sitios web
Seguridad en sitios webSeguridad en sitios web
Seguridad en sitios webUTPL
 

Destacado (20)

Cómo redireccionar mi correo gmail
Cómo redireccionar mi correo gmailCómo redireccionar mi correo gmail
Cómo redireccionar mi correo gmail
 
Presentación reconocimiento ingresos
Presentación reconocimiento ingresosPresentación reconocimiento ingresos
Presentación reconocimiento ingresos
 
Servicios multimedia
Servicios multimediaServicios multimedia
Servicios multimedia
 
Infraestructura de medición avanzada (AMI) en las redes inteligentes
Infraestructura de medición avanzada (AMI) en las redes inteligentesInfraestructura de medición avanzada (AMI) en las redes inteligentes
Infraestructura de medición avanzada (AMI) en las redes inteligentes
 
Gases arteriales
Gases arteriales Gases arteriales
Gases arteriales
 
Cuadro de area biblioteca universitaria
Cuadro de area biblioteca universitariaCuadro de area biblioteca universitaria
Cuadro de area biblioteca universitaria
 
Tecnologia de Nube
Tecnologia de NubeTecnologia de Nube
Tecnologia de Nube
 
Explicacion de las reacciones de los tubos
Explicacion de las reacciones de los tubosExplicacion de las reacciones de los tubos
Explicacion de las reacciones de los tubos
 
Mobile marketing y apps
Mobile marketing y appsMobile marketing y apps
Mobile marketing y apps
 
Sistema de impresion ctp..
Sistema de impresion ctp..Sistema de impresion ctp..
Sistema de impresion ctp..
 
Registrador
Registrador Registrador
Registrador
 
Crear tus propios Comics
Crear tus propios ComicsCrear tus propios Comics
Crear tus propios Comics
 
Preparacion de superficies metalicas
Preparacion de superficies metalicasPreparacion de superficies metalicas
Preparacion de superficies metalicas
 
Clases De Acciones
Clases De AccionesClases De Acciones
Clases De Acciones
 
Medicion de nivel
Medicion de nivelMedicion de nivel
Medicion de nivel
 
Sistema de unidades patrones y calibracion
Sistema de unidades patrones y calibracionSistema de unidades patrones y calibracion
Sistema de unidades patrones y calibracion
 
Ppt construcción de un sitio web
Ppt construcción de un sitio webPpt construcción de un sitio web
Ppt construcción de un sitio web
 
Componentes de un equipo de resonancia magnética
Componentes de un equipo de resonancia magnéticaComponentes de un equipo de resonancia magnética
Componentes de un equipo de resonancia magnética
 
Ensayos clinicos fase i, ii y iii
Ensayos clinicos fase i, ii y iiiEnsayos clinicos fase i, ii y iii
Ensayos clinicos fase i, ii y iii
 
Seguridad en sitios web
Seguridad en sitios webSeguridad en sitios web
Seguridad en sitios web
 

Similar a Guia para desarrollo de software seguro

SeccióN De TéCnicas De IngenieríA De Software(2007)
SeccióN De TéCnicas De IngenieríA De Software(2007)SeccióN De TéCnicas De IngenieríA De Software(2007)
SeccióN De TéCnicas De IngenieríA De Software(2007)denny osael lopez medina
 
Test de penetración
Test de penetraciónTest de penetración
Test de penetraciónJSACTMMusic
 
Inenieria de software - modelos y metodologias
Inenieria de software - modelos y metodologiasInenieria de software - modelos y metodologias
Inenieria de software - modelos y metodologiaslaudyt
 
Development of Secure Applications
Development of Secure ApplicationsDevelopment of Secure Applications
Development of Secure ApplicationsRoger CARHUATOCTO
 
Ingeniería de software
Ingeniería de softwareIngeniería de software
Ingeniería de softwaremichellchia11
 
Proceso y diseño de un software
Proceso y diseño de un softwareProceso y diseño de un software
Proceso y diseño de un softwareCESARCONTRERAS009
 
Proceso y diseño de un software
Proceso y diseño de un softwareProceso y diseño de un software
Proceso y diseño de un softwareCESARCONTRERAS009
 
Proceso y diseño de un software
Proceso y diseño de un softwareProceso y diseño de un software
Proceso y diseño de un softwarejafigueroa26
 
Proceso y diseño de un software
Proceso y diseño de un softwareProceso y diseño de un software
Proceso y diseño de un softwarejafigueroa26
 
Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...
Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...
Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...Optimyth Software
 
Introduccion a la Ingenieria en Sistemas de Informacion, Examen Dos, Guia & R...
Introduccion a la Ingenieria en Sistemas de Informacion, Examen Dos, Guia & R...Introduccion a la Ingenieria en Sistemas de Informacion, Examen Dos, Guia & R...
Introduccion a la Ingenieria en Sistemas de Informacion, Examen Dos, Guia & R...Osver Fernandez V
 
Ingenieria del Software: Software a medida y generico.
Ingenieria del Software: Software a medida y generico.Ingenieria del Software: Software a medida y generico.
Ingenieria del Software: Software a medida y generico.usserp584
 
Ingenieria de software final.
Ingenieria de software final.Ingenieria de software final.
Ingenieria de software final.Andrés Sorto
 
Ingenieria de software final.
Ingenieria de software final.Ingenieria de software final.
Ingenieria de software final.Andrés Sorto
 
Implementando owasp samm en latam
Implementando owasp samm en latamImplementando owasp samm en latam
Implementando owasp samm en latamMateo Martinez
 
Introduccion a la Ingeniería de Software
Introduccion a la Ingeniería de SoftwareIntroduccion a la Ingeniería de Software
Introduccion a la Ingeniería de SoftwareLia IS
 

Similar a Guia para desarrollo de software seguro (20)

SeccióN De TéCnicas De IngenieríA De Software(2007)
SeccióN De TéCnicas De IngenieríA De Software(2007)SeccióN De TéCnicas De IngenieríA De Software(2007)
SeccióN De TéCnicas De IngenieríA De Software(2007)
 
Vicky
VickyVicky
Vicky
 
Test de penetración
Test de penetraciónTest de penetración
Test de penetración
 
Inenieria de software - modelos y metodologias
Inenieria de software - modelos y metodologiasInenieria de software - modelos y metodologias
Inenieria de software - modelos y metodologias
 
Development of Secure Applications
Development of Secure ApplicationsDevelopment of Secure Applications
Development of Secure Applications
 
Ingeniería de software
Ingeniería de softwareIngeniería de software
Ingeniería de software
 
Cuestionario examen
Cuestionario examenCuestionario examen
Cuestionario examen
 
Proceso y diseño de un software
Proceso y diseño de un softwareProceso y diseño de un software
Proceso y diseño de un software
 
Proceso y diseño de un software
Proceso y diseño de un softwareProceso y diseño de un software
Proceso y diseño de un software
 
Proceso y diseño de un software
Proceso y diseño de un softwareProceso y diseño de un software
Proceso y diseño de un software
 
Proceso y diseño de un software
Proceso y diseño de un softwareProceso y diseño de un software
Proceso y diseño de un software
 
Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...
Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...
Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...
 
Calidad de software y TDD
Calidad de software y TDDCalidad de software y TDD
Calidad de software y TDD
 
Introduccion a la Ingenieria en Sistemas de Informacion, Examen Dos, Guia & R...
Introduccion a la Ingenieria en Sistemas de Informacion, Examen Dos, Guia & R...Introduccion a la Ingenieria en Sistemas de Informacion, Examen Dos, Guia & R...
Introduccion a la Ingenieria en Sistemas de Informacion, Examen Dos, Guia & R...
 
Ingenieria del Software: Software a medida y generico.
Ingenieria del Software: Software a medida y generico.Ingenieria del Software: Software a medida y generico.
Ingenieria del Software: Software a medida y generico.
 
Ingenieria de software final.
Ingenieria de software final.Ingenieria de software final.
Ingenieria de software final.
 
Ingenieria de software final.
Ingenieria de software final.Ingenieria de software final.
Ingenieria de software final.
 
Desarrollo de software
Desarrollo de softwareDesarrollo de software
Desarrollo de software
 
Implementando owasp samm en latam
Implementando owasp samm en latamImplementando owasp samm en latam
Implementando owasp samm en latam
 
Introduccion a la Ingeniería de Software
Introduccion a la Ingeniería de SoftwareIntroduccion a la Ingeniería de Software
Introduccion a la Ingeniería de Software
 

Último

Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxGESTECPERUSAC
 
certificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfcertificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfFernandoOblitasVivan
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfjeondanny1997
 
Análisis de Artefactos Tecnologicos (3) (1).pdf
Análisis de Artefactos Tecnologicos (3) (1).pdfAnálisis de Artefactos Tecnologicos (3) (1).pdf
Análisis de Artefactos Tecnologicos (3) (1).pdfsharitcalderon04
 
Slideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan GerenciaSlideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan Gerenciacubillannoly
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúCEFERINO DELGADO FLORES
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
tarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzztarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzzAlexandergo5
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOnarvaezisabella21
 
Herramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdfHerramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdfKarinaCambero3
 
Presentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia ArtificialPresentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia Artificialcynserafini89
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxtjcesar1
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxTALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxobandopaula444
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfedepmariaperez
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesEdomar AR
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxAlexander López
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxAlexander López
 
CommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersCommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersIván López Martín
 

Último (20)

Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptx
 
El camino a convertirse en Microsoft MVP
El camino a convertirse en Microsoft MVPEl camino a convertirse en Microsoft MVP
El camino a convertirse en Microsoft MVP
 
certificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfcertificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdf
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
 
Análisis de Artefactos Tecnologicos (3) (1).pdf
Análisis de Artefactos Tecnologicos (3) (1).pdfAnálisis de Artefactos Tecnologicos (3) (1).pdf
Análisis de Artefactos Tecnologicos (3) (1).pdf
 
Slideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan GerenciaSlideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan Gerencia
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
tarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzztarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzz
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
 
Herramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdfHerramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdf
 
Presentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia ArtificialPresentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia Artificial
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxTALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdf
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, Aplicaciones
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
 
CommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersCommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 Testcontainers
 

Guia para desarrollo de software seguro

  • 1. Desarrollo de software seguro Medidas a tomar en cuenta. Unas de las grandes necesidades en el desarrollo de software web/desktop es la falta de seguridad. La seguridad en un software es clave principal para la sostenibilidad y ciclo de vida del mismo pues nadie confía en las inseguridades que nos ofrecen. En esta guía vamos a resumir los principales puntos y herramientas necesarias para el desarrollo de un software seguro tanto para el ambiente web como para aplicaciones de escritorio y/o aplicaciones de software libre, todo esto guiado a un entorno empresarial, administrativo y de madurez. Algunas preguntas que debemos hacernos cuando vamos a construir un software seguro. • ¿Diseñado, construido y probado para su seguridad? • ¿Continúa ejecutándose correctamente bajo ataque? • ¿Diseñado con el fallo en mente? ¿Qué debemos conseguir para crear un software seguro? • Adoptar un modelo de madurez de desarrollo de software • Debemos considerar la seguridad del software desde el principio hasta el final Todas estas preguntas nos guían a un solo camino, Modelos de seguridad y me refiero en plural a este porque no solo nos debemos guiar por un solo modelo sino que debemos explorar los mejores modelos para saber cuál es el que más se ajusta a nuestras necesidades para hacer una buena práctica del desarrollo de software seguro.
  • 2. S-SDLC (Secure Software Development Life Cycle) Como clave de para el desarrollo de software seguro. ¿Qué es S-SDLC? Ciclo de Vida de Desarrollo de Software seguro describe las fases del ciclo del software y el orden en que esas fases se ejecutan de acuerdo a los requerimientos del negocio. Con el fin de implementar las aplicaciones que se requieren para proporcionar un procesamiento seguro. Esquema SDLC
  • 3. Otras Iniciativas de seguridad en el desarrollo de software Microsoft SDL El modelo de optimización de SDL está estructurado en torno a cinco áreas de capacidades que, en líneas generales, se corresponden con las fases del ciclo de vida de desarrollo de software: 1) Formación, directivas y capacidades organizativas 2) Requisitos y diseño 3) Implementación 4) Comprobación 5) Lanzamiento y respuesta ¿Donde aplicar SDL? 1) Aplicaciones implementadas en un entorno empresarial 2) Aplicaciones que procesan información de identificación personal 3) Aplicaciones que se comunican frecuentemente a través de Internet u otras redes OWASP CLASP Open Web Application Security Project (Proyecto abierto de seguridad de aplicaciones web ), Es un proyecto de código abierto dedicado a determinar y combatir las causas que hacen que el software sea inseguro ¿Qué nos ofrece OWASP? • Búsqueda y lucha contra las causas de software inseguro • Creación de herramientas, documentación y estándares • Conferencias • Recursos gratuitos y de código abierto • www.owasp.org
  • 4. Medidas estándar que debemos tomar para el desarrollo de software seguro 1. Para desarrollar una aplicación segura debemos considerar los siguientes aspectos  Control de la entrada: validar todas las entradas.  Gestión de memoria: desbordamiento de buffers.  Estructura interna y diseño del programa.  Llamadas a recursos externos: bibliotecas, scripts.  Control de la salida: formato, restricciones.  Problemas de los lenguajes de programación.  Otros: algoritmos criptográficos, de autentificación. 2. Control de la entrada  Hay que validar todas las entradas que vienen de fuentes no fiables.  Se debe determinar qué es legal y rechazar lo que no lo sea.  Siempre se debe verificar que algo es legal, la aproximación contraria (detección de entradas erróneas) puede fallar.  El sistema se debe verificar generando entradas erróneas desconocidas.  Hay que limitar la longitud máxima de la entrada 3. Vigilar caracteres especiales  Caracteres de control.  Caracteres especiales para el Shell, SQL, etc.  Delimitadores (p. ej. tabuladores, comas,:, etc.).  Verificar la codificación y decodificación de URLs y la validez de los juegos de caracteres.  Minimizar las decodificaciones; no decodificar más de una vez de modo inndecesario.  Números: verificar máximos, mínimos y ceros. 4. Validación de otros tipos de datos
  • 5.  Direcciones de correo: ver RFC 2822 y 822.  Nombres de fichero: Omitir caracteres especiales (/, 'n', '”', ...), omitir '../'.  Expresiones regulares.  Cookies: comprobar dominios.  HTML/XML: prevenir cross-posting.  URI/URL: validar antes de procesar.