SlideShare una empresa de Scribd logo

Buenas prácticas SDL y herramientas OWASP

Peter Concha
Peter Concha

Este documento presenta las buenas prácticas de desarrollo seguro basadas en OWASP (Open Web Application Security Project). Explica el proceso de desarrollo seguro (SDL) de OWASP, que incluye actividades como la identificación de expertos en seguridad, la realización de pruebas estáticas y dinámicas de código, y el uso de herramientas de modelado de amenazas. Luego, el documento muestra una demostración del uso de la herramienta de modelado de amenazas Microsoft Threat Modeling Tool y la

Tecnología
1 de 23
Descargar para leer sin conexión
Buenas prácticas de desarrollo seguro basados en OWASP Peter Concha Arquitecto de Seguridad
AVANET NACIÓ DE UN SUEÑO LLAMADO ALTRUISMO DIGITAL…
DURANTE CINCO AÑOS TRABAJAMOS SIN DESCANSO POR EL DE LA MANERA EQUIVOCADA…
(Ecuador) Contagiamos gente a lo lejos…
Congreso Científico de Ciencias e Ingeniería UNEMI 2021
Agenda •Presentación •Introducción a OWASP •Proceso SDL •Herramientas •Demo •Referencias •Preguntas
Un poco sobre mí Contactos
https://about.me/peterconchar
Introducción a OWASP
Estado actual OWASP
Proceso SDL
Optimizando un Proceso
¿Formación en materia de seguridad? Formación básica completa ¿Se han identificado herramientas? Plan de respuesta Documentar procedimientos de respuesta a emergencias Especificar compiladores, herramientas, marcas y opciones ¿API no seguras? ¿Revisión de seguridad final? Revisar todas las actividades de seguridad y privacidad Prohibir funciones y API no seguras Análisis estático ¿Lanzamiento/ archivado? Archivar todos los datos técnicos pertinentes Realizar análisis de código estático periódico ¿Requisitos de diseño? Realizar todas las subtareas Seguridad Revisar junto con el asesor Privacidad Revisar junto con el asesor Cifrado Revisar junto con los asesores Superficie de ataques Defensas por capas y privilegio mínimo ¿Modelos de riesgos? Evaluar riesgos mediante STRIDE Análisis dinámico Realizar pruebas de comprobación en tiempo de ejecución ¿Pruebas de exploración de vulnerabilidades mediante datos aleatorios? Aplicar estas pruebas a todas las interfaces de programación ¿Revisar modelo de riesgos/ superficie de ataques? Validar modelos con proyecto de código completo ¿Pruebas de penetración? (Opción) Pruebas de ataque deliberadas con componentes críticos FIN ¿Se han identificado expertos? Asignar asesores y responsables de equipo ¿Requisitos mínimos? Definir criterios de seguridad mínimos ¿Seguimiento de errores? Especificar herramienta de seguimiento de errores o del trabajo Umbrales de calidad Especificar umbrales de calidad y límites de errores ¿Riesgo evaluado? Usar SRA/PRA para codificar el riesgo ¿Requisitos de seguridad/ privacidad? Realizar todas las subtareas Sí No No No No No No No No No Sí No No No No Sí Sí Sí Sí Sí Sí Sí Sí No No No No No No Sí Sí Sí Sí Sí Yes Sí Sí Sí Sí No No No Sí Formación Requisito Diseño Implementación Comprobación Lanzamiento No Respuesta
Herramientas
Herramientas
Threat Modeling
Threat Modeling
Metodología STRIDE Y DREAD
Demo Threat Modeling
Demo DAST Dynamic Analysis Security Testing
Referencias y Preguntas
Referencias •OWASP Foundation | Open Source Foundation for Application Security •OWASP ZAP (zaproxy.org) •Microsoft Threat Modeling Tool (slideshare.net) •Microsoft Security Development Lifecycle Threat Modelling •Microsoft Security Development Lifecycle Practices •Download Implementación simplificada del proceso SDL de Microsoft from Official Microsoft Download Center •Microsoft Security Development Lifecycle Resources •Mitigations - Microsoft Threat Modeling Tool - Azure | Microsoft Docs
https://about.me/peterconchar

Recomendados

¿Qué es OWASP?
¿Qué es OWASP?¿Qué es OWASP?
¿Qué es OWASP?Yolanda Corral
 
Microsoft Threat Modeling Tool
Microsoft Threat Modeling ToolMicrosoft Threat Modeling Tool
Microsoft Threat Modeling ToolPeter Concha
 
Introduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaIntroduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaCamilo Fernandez
 
OWASP
OWASPOWASP
OWASPConferencias FIST
 
Owasp top 10_-_2013_final_-_español
Owasp top 10_-_2013_final_-_españolOwasp top 10_-_2013_final_-_español
Owasp top 10_-_2013_final_-_españolfosoSSS
 
Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014Securinf.com Seguridad Informatica - Tecnoweb2.com
 
Hacking web con OWASP
Hacking web con OWASPHacking web con OWASP
Hacking web con OWASPzekivazquez
 
Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Securinf.com Seguridad Informatica - Tecnoweb2.com
 

Recomendados

¿Qué es OWASP?
¿Qué es OWASP?¿Qué es OWASP?
¿Qué es OWASP?Yolanda Corral
 
Microsoft Threat Modeling Tool
Microsoft Threat Modeling ToolMicrosoft Threat Modeling Tool
Microsoft Threat Modeling ToolPeter Concha
 
Introduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaIntroduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaCamilo Fernandez
 
OWASP
OWASPOWASP
OWASPConferencias FIST
 
Owasp top 10_-_2013_final_-_español
Owasp top 10_-_2013_final_-_españolOwasp top 10_-_2013_final_-_español
Owasp top 10_-_2013_final_-_españolfosoSSS
 
Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014Securinf.com Seguridad Informatica - Tecnoweb2.com
 
Hacking web con OWASP
Hacking web con OWASPHacking web con OWASP
Hacking web con OWASPzekivazquez
 
Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Securinf.com Seguridad Informatica - Tecnoweb2.com
 
Owasp top ten 2019
Owasp top ten 2019Owasp top ten 2019
Owasp top ten 2019Santiago Rodríguez Paniagua
 
Argentesting 2019 - Analizando la seguridad en aplicaciones móviles
Argentesting 2019 - Analizando la seguridad en aplicaciones móvilesArgentesting 2019 - Analizando la seguridad en aplicaciones móviles
Argentesting 2019 - Analizando la seguridad en aplicaciones móvilesArgentesting
 
Owasp top 10 2010 final (spanish)
Owasp top 10 2010 final (spanish)Owasp top 10 2010 final (spanish)
Owasp top 10 2010 final (spanish)Fabio Cerullo
 
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...Internet Security Auditors
 
Owasp Top10 Spanish
Owasp Top10 SpanishOwasp Top10 Spanish
Owasp Top10 SpanishFabio Cerullo
 
Análisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadAnálisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadArgentesting
 
Emprendimiento tecnológico y ciberseguridad
Emprendimiento tecnológico y ciberseguridad Emprendimiento tecnológico y ciberseguridad
Emprendimiento tecnológico y ciberseguridad Raúl Díaz
 
Analisis Aplicaciones Moviles con OWASP
Analisis Aplicaciones Moviles con OWASPAnalisis Aplicaciones Moviles con OWASP
Analisis Aplicaciones Moviles con OWASPEnrique Gustavo Dutra
 
Las nuevas ciberamenazas que enfrentamos el 2017
Las nuevas ciberamenazas que enfrentamos el 2017 Las nuevas ciberamenazas que enfrentamos el 2017
Las nuevas ciberamenazas que enfrentamos el 2017 Raúl Díaz
 
Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting
 
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...Raúl Díaz
 
Argentesting 2017 - Pruebas de software basadas en riesgos
Argentesting 2017 - Pruebas de software basadas en riesgosArgentesting 2017 - Pruebas de software basadas en riesgos
Argentesting 2017 - Pruebas de software basadas en riesgosArgentesting
 
Presentacion DevSecOps Argentina
Presentacion DevSecOps ArgentinaPresentacion DevSecOps Argentina
Presentacion DevSecOps ArgentinaCSA Argentina
 
Seguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesSeguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesJaime Andrés Bello Vieda
 
Presentación Rubén Vergara
Presentación Rubén VergaraPresentación Rubén Vergara
Presentación Rubén VergaraINACAP
 
SISTEMATIZACIÓN DE LA GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN EN LA...
SISTEMATIZACIÓN DE LA GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN EN LA...SISTEMATIZACIÓN DE LA GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN EN LA...
SISTEMATIZACIÓN DE LA GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN EN LA...Manuel Mujica
 
Eduardo Godoy
Eduardo GodoyEduardo Godoy
Eduardo GodoyINACAP
 
Diseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiC
Diseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiCDiseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiC
Diseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiCInternet Security Auditors
 
Seguridad aplicaciones web
Seguridad aplicaciones webSeguridad aplicaciones web
Seguridad aplicaciones webFernando Tricas García
 
OWASP Foundation y los objetivos del Capítulo Español
OWASP Foundation y los objetivos del Capítulo EspañolOWASP Foundation y los objetivos del Capítulo Español
OWASP Foundation y los objetivos del Capítulo EspañolInternet Security Auditors
 
Devsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoDevsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoLuciano Moreira da Cruz
 
Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021Alonso Caballero
 

Más contenido relacionado

La actualidad más candente

Argentesting 2019 - Analizando la seguridad en aplicaciones móviles
Argentesting 2019 - Analizando la seguridad en aplicaciones móvilesArgentesting 2019 - Analizando la seguridad en aplicaciones móviles
Argentesting 2019 - Analizando la seguridad en aplicaciones móvilesArgentesting
 
Owasp top 10 2010 final (spanish)
Owasp top 10 2010 final (spanish)Owasp top 10 2010 final (spanish)
Owasp top 10 2010 final (spanish)Fabio Cerullo
 
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...Internet Security Auditors
 
Análisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadAnálisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadArgentesting
 
Emprendimiento tecnológico y ciberseguridad
Emprendimiento tecnológico y ciberseguridad Emprendimiento tecnológico y ciberseguridad
Emprendimiento tecnológico y ciberseguridad Raúl Díaz
 
Analisis Aplicaciones Moviles con OWASP
Analisis Aplicaciones Moviles con OWASPAnalisis Aplicaciones Moviles con OWASP
Analisis Aplicaciones Moviles con OWASPEnrique Gustavo Dutra
 
Las nuevas ciberamenazas que enfrentamos el 2017
Las nuevas ciberamenazas que enfrentamos el 2017 Las nuevas ciberamenazas que enfrentamos el 2017
Las nuevas ciberamenazas que enfrentamos el 2017 Raúl Díaz
 
Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting
 
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...Raúl Díaz
 
Argentesting 2017 - Pruebas de software basadas en riesgos
Argentesting 2017 - Pruebas de software basadas en riesgosArgentesting 2017 - Pruebas de software basadas en riesgos
Argentesting 2017 - Pruebas de software basadas en riesgosArgentesting
 
Presentacion DevSecOps Argentina
Presentacion DevSecOps ArgentinaPresentacion DevSecOps Argentina
Presentacion DevSecOps ArgentinaCSA Argentina
 
Seguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesSeguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesJaime Andrés Bello Vieda
 
Presentación Rubén Vergara
Presentación Rubén VergaraPresentación Rubén Vergara
Presentación Rubén VergaraINACAP
 
SISTEMATIZACIÓN DE LA GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN EN LA...
SISTEMATIZACIÓN DE LA GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN EN LA...SISTEMATIZACIÓN DE LA GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN EN LA...
SISTEMATIZACIÓN DE LA GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN EN LA...Manuel Mujica
 
Eduardo Godoy
Eduardo GodoyEduardo Godoy
Eduardo GodoyINACAP
 
Diseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiC
Diseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiCDiseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiC
Diseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiCInternet Security Auditors
 
OWASP Foundation y los objetivos del Capítulo Español
OWASP Foundation y los objetivos del Capítulo EspañolOWASP Foundation y los objetivos del Capítulo Español
OWASP Foundation y los objetivos del Capítulo EspañolInternet Security Auditors
 

La actualidad más candente (20)

Owasp top ten 2019
Owasp top ten 2019Owasp top ten 2019
Owasp top ten 2019
 
Argentesting 2019 - Analizando la seguridad en aplicaciones móviles
Argentesting 2019 - Analizando la seguridad en aplicaciones móvilesArgentesting 2019 - Analizando la seguridad en aplicaciones móviles
Argentesting 2019 - Analizando la seguridad en aplicaciones móviles
 
Owasp top 10 2010 final (spanish)
Owasp top 10 2010 final (spanish)Owasp top 10 2010 final (spanish)
Owasp top 10 2010 final (spanish)
 
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
 
Owasp Top10 Spanish
Owasp Top10 SpanishOwasp Top10 Spanish
Owasp Top10 Spanish
 
Análisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadAnálisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridad
 
Emprendimiento tecnológico y ciberseguridad
Emprendimiento tecnológico y ciberseguridad Emprendimiento tecnológico y ciberseguridad
Emprendimiento tecnológico y ciberseguridad
 
Analisis Aplicaciones Moviles con OWASP
Analisis Aplicaciones Moviles con OWASPAnalisis Aplicaciones Moviles con OWASP
Analisis Aplicaciones Moviles con OWASP
 
Las nuevas ciberamenazas que enfrentamos el 2017
Las nuevas ciberamenazas que enfrentamos el 2017 Las nuevas ciberamenazas que enfrentamos el 2017
Las nuevas ciberamenazas que enfrentamos el 2017
 
Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10
 
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
 
Argentesting 2017 - Pruebas de software basadas en riesgos
Argentesting 2017 - Pruebas de software basadas en riesgosArgentesting 2017 - Pruebas de software basadas en riesgos
Argentesting 2017 - Pruebas de software basadas en riesgos
 
Presentacion DevSecOps Argentina
Presentacion DevSecOps ArgentinaPresentacion DevSecOps Argentina
Presentacion DevSecOps Argentina
 
Seguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesSeguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móviles
 
Presentación Rubén Vergara
Presentación Rubén VergaraPresentación Rubén Vergara
Presentación Rubén Vergara
 
SISTEMATIZACIÓN DE LA GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN EN LA...
SISTEMATIZACIÓN DE LA GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN EN LA...SISTEMATIZACIÓN DE LA GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN EN LA...
SISTEMATIZACIÓN DE LA GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN EN LA...
 
Eduardo Godoy
Eduardo GodoyEduardo Godoy
Eduardo Godoy
 
Diseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiC
Diseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiCDiseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiC
Diseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiC
 
Seguridad aplicaciones web
Seguridad aplicaciones webSeguridad aplicaciones web
Seguridad aplicaciones web
 
OWASP Foundation y los objetivos del Capítulo Español
OWASP Foundation y los objetivos del Capítulo EspañolOWASP Foundation y los objetivos del Capítulo Español
OWASP Foundation y los objetivos del Capítulo Español
 

Similar a Buenas prácticas SDL y herramientas OWASP

Devsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoDevsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoLuciano Moreira da Cruz
 
Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021Alonso Caballero
 
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Enrique Gustavo Dutra
 
La necesidad de construir software seguro. IBM Software Summit #Start013
La necesidad de construir software seguro. IBM Software Summit #Start013La necesidad de construir software seguro. IBM Software Summit #Start013
La necesidad de construir software seguro. IBM Software Summit #Start013Internet Security Auditors
 
DevOps (y DevSecOps) e ITSM, el Feedback de Produccion y Seguridad a Desarrollo
DevOps (y DevSecOps) e ITSM, el Feedback de Produccion y Seguridad a DesarrolloDevOps (y DevSecOps) e ITSM, el Feedback de Produccion y Seguridad a Desarrollo
DevOps (y DevSecOps) e ITSM, el Feedback de Produccion y Seguridad a DesarrolloVictor M. Fernández
 
Azure Dev(Sec)Ops EPIDATA completa
Azure Dev(Sec)Ops EPIDATA completaAzure Dev(Sec)Ops EPIDATA completa
Azure Dev(Sec)Ops EPIDATA completaTravis Alford
 
Workshop azure devsecops Microsoft Argentina
Workshop azure devsecops Microsoft ArgentinaWorkshop azure devsecops Microsoft Argentina
Workshop azure devsecops Microsoft ArgentinaLuciano Moreira da Cruz
 
Webinar Gratuito: Guía de Pruebas de OWASP
Webinar Gratuito: Guía de Pruebas de OWASPWebinar Gratuito: Guía de Pruebas de OWASP
Webinar Gratuito: Guía de Pruebas de OWASPAlonso Caballero
 
Open Web Application Security Project OWASP
Open Web Application Security Project OWASPOpen Web Application Security Project OWASP
Open Web Application Security Project OWASPEdwardZarate2
 
Es diseño y elaboración miller rodríguez
Es diseño y elaboración miller rodríguezEs diseño y elaboración miller rodríguez
Es diseño y elaboración miller rodríguezMwller
 
Crear software seguro como objetivo de la direccion.
Crear software seguro como objetivo de la direccion.Crear software seguro como objetivo de la direccion.
Crear software seguro como objetivo de la direccion.Internet Security Auditors
 
Curso Virtual Hacking ICS / SCADA 2022
Curso Virtual Hacking ICS / SCADA 2022Curso Virtual Hacking ICS / SCADA 2022
Curso Virtual Hacking ICS / SCADA 2022Alonso Caballero
 
Pruebas de seguridad continuas para dev ops
Pruebas de seguridad continuas para dev opsPruebas de seguridad continuas para dev ops
Pruebas de seguridad continuas para dev opsStephen de Vries
 

Similar a Buenas prácticas SDL y herramientas OWASP (20)

Devsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoDevsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivo
 
Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021
 
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
 
La necesidad de construir software seguro. IBM Software Summit #Start013
La necesidad de construir software seguro. IBM Software Summit #Start013La necesidad de construir software seguro. IBM Software Summit #Start013
La necesidad de construir software seguro. IBM Software Summit #Start013
 
Modelos de desarrollo seguro de software
Modelos de desarrollo seguro de softwareModelos de desarrollo seguro de software
Modelos de desarrollo seguro de software
 
DevOps (y DevSecOps) e ITSM, el Feedback de Produccion y Seguridad a Desarrollo
DevOps (y DevSecOps) e ITSM, el Feedback de Produccion y Seguridad a DesarrolloDevOps (y DevSecOps) e ITSM, el Feedback de Produccion y Seguridad a Desarrollo
DevOps (y DevSecOps) e ITSM, el Feedback de Produccion y Seguridad a Desarrollo
 
ISACA DevOps LATAM
ISACA DevOps LATAMISACA DevOps LATAM
ISACA DevOps LATAM
 
Hacia una filosofia ágil
Hacia una filosofia ágilHacia una filosofia ágil
Hacia una filosofia ágil
 
HA2NV50 EQ8 - XP
HA2NV50 EQ8 - XPHA2NV50 EQ8 - XP
HA2NV50 EQ8 - XP
 
Azure Dev(Sec)Ops EPIDATA completa
Azure Dev(Sec)Ops EPIDATA completaAzure Dev(Sec)Ops EPIDATA completa
Azure Dev(Sec)Ops EPIDATA completa
 
Workshop azure devsecops Microsoft Argentina
Workshop azure devsecops Microsoft ArgentinaWorkshop azure devsecops Microsoft Argentina
Workshop azure devsecops Microsoft Argentina
 
Webinar Gratuito: Guía de Pruebas de OWASP
Webinar Gratuito: Guía de Pruebas de OWASPWebinar Gratuito: Guía de Pruebas de OWASP
Webinar Gratuito: Guía de Pruebas de OWASP
 
Open Web Application Security Project OWASP
Open Web Application Security Project OWASPOpen Web Application Security Project OWASP
Open Web Application Security Project OWASP
 
Es diseño y elaboración miller rodríguez
Es diseño y elaboración miller rodríguezEs diseño y elaboración miller rodríguez
Es diseño y elaboración miller rodríguez
 
Crear software seguro como objetivo de la direccion.
Crear software seguro como objetivo de la direccion.Crear software seguro como objetivo de la direccion.
Crear software seguro como objetivo de la direccion.
 
Aplicaciones seguras
Aplicaciones seguras Aplicaciones seguras
Aplicaciones seguras
 
Curso Virtual Hacking ICS / SCADA 2022
Curso Virtual Hacking ICS / SCADA 2022Curso Virtual Hacking ICS / SCADA 2022
Curso Virtual Hacking ICS / SCADA 2022
 
Ha2 nv50 rodriguez montiel moises-xp
Ha2 nv50 rodriguez montiel moises-xpHa2 nv50 rodriguez montiel moises-xp
Ha2 nv50 rodriguez montiel moises-xp
 
Osum
OsumOsum
Osum
 
Pruebas de seguridad continuas para dev ops
Pruebas de seguridad continuas para dev opsPruebas de seguridad continuas para dev ops
Pruebas de seguridad continuas para dev ops
 

Más de Peter Concha

Visual Studio Team Service.- Un viaje a dev ops
Visual Studio Team Service.- Un viaje a dev opsVisual Studio Team Service.- Un viaje a dev ops
Visual Studio Team Service.- Un viaje a dev opsPeter Concha
 
Microsoft Power BI.- Una Herramienta para BI
Microsoft Power BI.- Una Herramienta para BIMicrosoft Power BI.- Una Herramienta para BI
Microsoft Power BI.- Una Herramienta para BIPeter Concha
 
Xamarin.- Apps conectadas con azure
Xamarin.- Apps conectadas con azureXamarin.- Apps conectadas con azure
Xamarin.- Apps conectadas con azurePeter Concha
 
Invitación BarCamp 2015
Invitación BarCamp 2015Invitación BarCamp 2015
Invitación BarCamp 2015Peter Concha
 
Carta Agradecimiento Microsoft por EXPO USE
Carta Agradecimiento Microsoft por EXPO USECarta Agradecimiento Microsoft por EXPO USE
Carta Agradecimiento Microsoft por EXPO USEPeter Concha
 
Credencial 2011 - 2012
Credencial 2011 - 2012Credencial 2011 - 2012
Credencial 2011 - 2012Peter Concha
 
Azure Site Recovery.- Plan contra desastre
Azure Site Recovery.- Plan contra desastreAzure Site Recovery.- Plan contra desastre
Azure Site Recovery.- Plan contra desastrePeter Concha
 
Comunidades Técnicas.- Tips y Experiencias
Comunidades Técnicas.- Tips y ExperienciasComunidades Técnicas.- Tips y Experiencias
Comunidades Técnicas.- Tips y ExperienciasPeter Concha
 
Conversatorio MVP: Carrera, Código y Tecnología
Conversatorio MVP: Carrera, Código y TecnologíaConversatorio MVP: Carrera, Código y Tecnología
Conversatorio MVP: Carrera, Código y TecnologíaPeter Concha
 
Microsoft Azure: Desarrollando en la Nube con PHP y Control de Código Fuente ...
Microsoft Azure: Desarrollando en la Nube con PHP y Control de Código Fuente ...Microsoft Azure: Desarrollando en la Nube con PHP y Control de Código Fuente ...
Microsoft Azure: Desarrollando en la Nube con PHP y Control de Código Fuente ...Peter Concha
 
Desarrollo de Aplicaciones PHP con Microsoft Azure
Desarrollo de Aplicaciones PHP con Microsoft AzureDesarrollo de Aplicaciones PHP con Microsoft Azure
Desarrollo de Aplicaciones PHP con Microsoft AzurePeter Concha
 
Intro a HTML5 Apps con Windows 8.1
Intro a HTML5 Apps con Windows 8.1Intro a HTML5 Apps con Windows 8.1
Intro a HTML5 Apps con Windows 8.1Peter Concha
 
Desarrollo Interoperable con WebMatrix y Modern.ie
Desarrollo Interoperable con WebMatrix y Modern.ieDesarrollo Interoperable con WebMatrix y Modern.ie
Desarrollo Interoperable con WebMatrix y Modern.iePeter Concha
 
Desarrollo de aplicaciones PHP con Azure
Desarrollo de aplicaciones PHP con AzureDesarrollo de aplicaciones PHP con Azure
Desarrollo de aplicaciones PHP con AzurePeter Concha
 
Programas Académicos y StartUps Con Microsoft
Programas Académicos y StartUps Con MicrosoftProgramas Académicos y StartUps Con Microsoft
Programas Académicos y StartUps Con MicrosoftPeter Concha
 
Enseñar A Programar A Los Más Chicos
Enseñar A Programar A Los Más ChicosEnseñar A Programar A Los Más Chicos
Enseñar A Programar A Los Más ChicosPeter Concha
 

Más de Peter Concha (20)

Visual Studio Team Service.- Un viaje a dev ops
Visual Studio Team Service.- Un viaje a dev opsVisual Studio Team Service.- Un viaje a dev ops
Visual Studio Team Service.- Un viaje a dev ops
 
Microsoft Power BI.- Una Herramienta para BI
Microsoft Power BI.- Una Herramienta para BIMicrosoft Power BI.- Una Herramienta para BI
Microsoft Power BI.- Una Herramienta para BI
 
Xamarin.- Apps conectadas con azure
Xamarin.- Apps conectadas con azureXamarin.- Apps conectadas con azure
Xamarin.- Apps conectadas con azure
 
Invitación BarCamp 2015
Invitación BarCamp 2015Invitación BarCamp 2015
Invitación BarCamp 2015
 
Carta Agradecimiento Microsoft por EXPO USE
Carta Agradecimiento Microsoft por EXPO USECarta Agradecimiento Microsoft por EXPO USE
Carta Agradecimiento Microsoft por EXPO USE
 
Credencial 2011 - 2012
Credencial 2011 - 2012Credencial 2011 - 2012
Credencial 2011 - 2012
 
es_ERL2016
es_ERL2016es_ERL2016
es_ERL2016
 
ERL2015
ERL2015ERL2015
ERL2015
 
ERL2014
ERL2014ERL2014
ERL2014
 
Azure Site Recovery.- Plan contra desastre
Azure Site Recovery.- Plan contra desastreAzure Site Recovery.- Plan contra desastre
Azure Site Recovery.- Plan contra desastre
 
Comunidades Técnicas.- Tips y Experiencias
Comunidades Técnicas.- Tips y ExperienciasComunidades Técnicas.- Tips y Experiencias
Comunidades Técnicas.- Tips y Experiencias
 
Conversatorio MVP: Carrera, Código y Tecnología
Conversatorio MVP: Carrera, Código y TecnologíaConversatorio MVP: Carrera, Código y Tecnología
Conversatorio MVP: Carrera, Código y Tecnología
 
Microsoft Azure: Desarrollando en la Nube con PHP y Control de Código Fuente ...
Microsoft Azure: Desarrollando en la Nube con PHP y Control de Código Fuente ...Microsoft Azure: Desarrollando en la Nube con PHP y Control de Código Fuente ...
Microsoft Azure: Desarrollando en la Nube con PHP y Control de Código Fuente ...
 
2015 allsponsor
2015 allsponsor2015 allsponsor
2015 allsponsor
 
Desarrollo de Aplicaciones PHP con Microsoft Azure
Desarrollo de Aplicaciones PHP con Microsoft AzureDesarrollo de Aplicaciones PHP con Microsoft Azure
Desarrollo de Aplicaciones PHP con Microsoft Azure
 
Intro a HTML5 Apps con Windows 8.1
Intro a HTML5 Apps con Windows 8.1Intro a HTML5 Apps con Windows 8.1
Intro a HTML5 Apps con Windows 8.1
 
Desarrollo Interoperable con WebMatrix y Modern.ie
Desarrollo Interoperable con WebMatrix y Modern.ieDesarrollo Interoperable con WebMatrix y Modern.ie
Desarrollo Interoperable con WebMatrix y Modern.ie
 
Desarrollo de aplicaciones PHP con Azure
Desarrollo de aplicaciones PHP con AzureDesarrollo de aplicaciones PHP con Azure
Desarrollo de aplicaciones PHP con Azure
 
Programas Académicos y StartUps Con Microsoft
Programas Académicos y StartUps Con MicrosoftProgramas Académicos y StartUps Con Microsoft
Programas Académicos y StartUps Con Microsoft
 
Enseñar A Programar A Los Más Chicos
Enseñar A Programar A Los Más ChicosEnseñar A Programar A Los Más Chicos
Enseñar A Programar A Los Más Chicos
 

Último

POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...AlanCedillo9
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...FacuMeza2
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersIván López Martín
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 

Último (19)

POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 

Buenas prácticas SDL y herramientas OWASP

  • 1. Buenas prácticas de desarrollo seguro basados en OWASP Peter Concha Arquitecto de Seguridad
  • 2. AVANET NACIÓ DE UN SUEÑO LLAMADO ALTRUISMO DIGITAL…
  • 3. DURANTE CINCO AÑOS TRABAJAMOS SIN DESCANSO POR EL DE LA MANERA EQUIVOCADA…
  • 5. Congreso Científico de Ciencias e Ingeniería UNEMI 2021
  • 6. Agenda •Presentación •Introducción a OWASP •Proceso SDL •Herramientas •Demo •Referencias •Preguntas
  • 7. Un poco sobre mí Contactos
  • 13. ¿Formación en materia de seguridad? Formación básica completa ¿Se han identificado herramientas? Plan de respuesta Documentar procedimientos de respuesta a emergencias Especificar compiladores, herramientas, marcas y opciones ¿API no seguras? ¿Revisión de seguridad final? Revisar todas las actividades de seguridad y privacidad Prohibir funciones y API no seguras Análisis estático ¿Lanzamiento/ archivado? Archivar todos los datos técnicos pertinentes Realizar análisis de código estático periódico ¿Requisitos de diseño? Realizar todas las subtareas Seguridad Revisar junto con el asesor Privacidad Revisar junto con el asesor Cifrado Revisar junto con los asesores Superficie de ataques Defensas por capas y privilegio mínimo ¿Modelos de riesgos? Evaluar riesgos mediante STRIDE Análisis dinámico Realizar pruebas de comprobación en tiempo de ejecución ¿Pruebas de exploración de vulnerabilidades mediante datos aleatorios? Aplicar estas pruebas a todas las interfaces de programación ¿Revisar modelo de riesgos/ superficie de ataques? Validar modelos con proyecto de código completo ¿Pruebas de penetración? (Opción) Pruebas de ataque deliberadas con componentes críticos FIN ¿Se han identificado expertos? Asignar asesores y responsables de equipo ¿Requisitos mínimos? Definir criterios de seguridad mínimos ¿Seguimiento de errores? Especificar herramienta de seguimiento de errores o del trabajo Umbrales de calidad Especificar umbrales de calidad y límites de errores ¿Riesgo evaluado? Usar SRA/PRA para codificar el riesgo ¿Requisitos de seguridad/ privacidad? Realizar todas las subtareas Sí No No No No No No No No No Sí No No No No Sí Sí Sí Sí Sí Sí Sí Sí No No No No No No Sí Sí Sí Sí Sí Yes Sí Sí Sí Sí No No No Sí Formación Requisito Diseño Implementación Comprobación Lanzamiento No Respuesta
  • 20. Demo DAST Dynamic Analysis Security Testing
  • 22. Referencias •OWASP Foundation | Open Source Foundation for Application Security •OWASP ZAP (zaproxy.org) •Microsoft Threat Modeling Tool (slideshare.net) •Microsoft Security Development Lifecycle Threat Modelling •Microsoft Security Development Lifecycle Practices •Download Implementación simplificada del proceso SDL de Microsoft from Official Microsoft Download Center •Microsoft Security Development Lifecycle Resources •Mitigations - Microsoft Threat Modeling Tool - Azure | Microsoft Docs