SlideShare una empresa de Scribd logo

QA and Security in Development Process

Roger CARHUATOCTO
Roger CARHUATOCTO

QA and Security in Development Process

Tecnología
1 de 12
Security in Offshore/Outsource Application Development Pg. de Gràcia, 85 2ª Barcelona T. 93 445 34 00 F. 93 487 69 87 Soldat Arrom Quart, 1 2ª mod 5 Palma de Mallorca T. 971 756 820 F. 971 757 274 Roger Carhuatocto www.in2.es roger.carhuatocto {{AT}} in2.es www.gos4i.org
Proceso de Desarrollo de Software - Offshore/Outsource 1 2 3 4 5 6 Requerimientos Diseño Plan de Implementación Resultado Retroalimentación y casos de uso Pruebas y codificación de Pruebas y feedback Empresa Software Usuario Contratante Factory Final © IN2 - Confidencial 2
Proceso de Desarrollo de Software con Calidad y Seguridad  Proceso clásico siguien pautas generales: › ISO9001:2000, CMM, Metodologías Ágiles, ....  Objetivo: › Detectar con antelación el error, en la etapa de diseño y no en producción › Ahorro del 60% de costes en actividades de Solución de un error cuando se detecta en la fase de Diseño.  Alcance: › Uso de metodologías clásicas de desarrollo pero con una adición de técnicas de testing y de aseguramiento de la calidad › El aseguramiento se extiendo a los largo del proceso › Soporte con herramientas al proceso de aseguramientos: • Gestión de Incidentes y/o Bugtracker • Herramientas automatizadas para identificar vulnerabilidades en código fuente, en funcionalidades • Herramientas para ejecutar pruebas de carga, etc. • Herramientas para probar la Seguridad • Sistema de Gestión de Pruebas © IN2 - Confidencial 3
Proceso de Desarrollo de Software con Calidad y Seguridad Requerimientos de Revisión Análisis Estático Pruebas de Seguridad y Calidad Externa (Herramientas) Penetración Casos Análisis Pruebas de Seguridad Análisis Monitorización de abuso de Riesgo basadas en el Riesgo de Riesgo y Seguimiento 1 2 3 4 5 6 Requerimientos Diseño Plan de Implementación Resultado Retroalimentación y casos de uso Pruebas y codificación de Pruebas y feedback Selección de Herramientas Pruebas de Pruebas de Carga © IN2 - Confidencial 4
1. Las Técnicas: Misuse-Abuse Case y Security Use Case (1/2) © IN2 - Confidencial 5
1. Las Técnicas: Misuse-Abuse Case y Security Use Case (1/2)  Casos de Uso › Requerimiento funcional de usuario › Comportamiento normal de lo que será la aplicación  Misuse-Abuse Case › No son requerimientos › No es el comportamiento normal › Comportamient olvidado: • Comportamiento anormal • Comportamiento de seguridad • Etc...  Es importante hacer un análisis de amenazas! © IN2 - Confidencial 6
2. Análisis Estático de Código  Método para el análisis del código fuente o código objeto  Sirve para ganar conocimiento de lo que la Aplicación hará en producción. además sirve para establecer algún criterio de corrección en el código.  Técnicas › Black Box Testing › White Box Testing • Code Coverage › Profiling • De performance • De flujo • De memoria • Etc...  Métricas de Software © IN2 - Confidencial 7
Herramientas Code Coverage/Profiling para JAVA y Free, Open Source  Jrat: Performance Profiling , http://jrat.sourceforge.net/ © IN2 - Confidencial 8
Herramientas Code Coverage/Profiling para JAVA y Free, Open Source  Extensible Java Profiler › http://ejp.sourceforge.net  Basado JVM Profiler Interface (JVMPI)  http://java.sun.com/j2se/1.4.2/docs/guide/jvmpi © IN2 - Confidencial 9
Herramientas Code Coverage/Profiling para JAVA y Free, Open Source  Cougaar Memory Profiler › http://profiler.cougaar.org  Jcoverage › Trabaja hasta nivel de byte-code › http://jcoverage.com  Cobertura › % de accesos a código desde los Test › Qué parte del código ha sido probado pocas veces © IN2 - Confidencial 10
Conocimiento-Patrones comunes de Errores en el Código de App  (Kingdoms) Fortify Taxonomy of Software Security Errors: http://vulncat.fortifysoftware.com/  19 Deadly Sins of Sw Security: http://www.amazon.com/gp/product/0072260858/104-4300195-4358349  OWASP Top Ten Most Critical Web Application Security Vuln: http://www.owasp.org/documentation/topten.html © IN2 - Confidencial 11
IN2, Compromiso con la Confianza Muchas Gracias © IN2 - Confidencial 12

Recomendados

Security in off-shore Application Development
Security in off-shore Application DevelopmentSecurity in off-shore Application Development
Security in off-shore Application DevelopmentConferencias FIST
 
Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...
Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...
Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...Optimyth Software
 
Red Team: Auditando los procesos de detección y respuesta a incidentes
Red Team: Auditando los procesos de detección y respuesta a incidentesRed Team: Auditando los procesos de detección y respuesta a incidentes
Red Team: Auditando los procesos de detección y respuesta a incidentesEduardo Arriols Nuñez
 
Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...
Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...
Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...Eduardo Arriols Nuñez
 
Technical Approach to Red Team Operations
Technical Approach to Red Team OperationsTechnical Approach to Red Team Operations
Technical Approach to Red Team OperationsEduardo Arriols Nuñez
 
Red Team: Next Generation Penetration Testing
Red Team: Next Generation Penetration TestingRed Team: Next Generation Penetration Testing
Red Team: Next Generation Penetration TestingEduardo Arriols Nuñez
 
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?Eduardo Arriols Nuñez
 
Ciberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesCiberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesSantiago Toribio Ayuga
 

Recomendados

Security in off-shore Application Development
Security in off-shore Application DevelopmentSecurity in off-shore Application Development
Security in off-shore Application DevelopmentConferencias FIST
 
Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...
Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...
Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...Optimyth Software
 
Red Team: Auditando los procesos de detección y respuesta a incidentes
Red Team: Auditando los procesos de detección y respuesta a incidentesRed Team: Auditando los procesos de detección y respuesta a incidentes
Red Team: Auditando los procesos de detección y respuesta a incidentesEduardo Arriols Nuñez
 
Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...
Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...
Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...Eduardo Arriols Nuñez
 
Technical Approach to Red Team Operations
Technical Approach to Red Team OperationsTechnical Approach to Red Team Operations
Technical Approach to Red Team OperationsEduardo Arriols Nuñez
 
Red Team: Next Generation Penetration Testing
Red Team: Next Generation Penetration TestingRed Team: Next Generation Penetration Testing
Red Team: Next Generation Penetration TestingEduardo Arriols Nuñez
 
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?Eduardo Arriols Nuñez
 
Ciberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesCiberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesSantiago Toribio Ayuga
 
Identificacion de peligros y evaluación exposición
Identificacion de peligros y evaluación exposiciónIdentificacion de peligros y evaluación exposición
Identificacion de peligros y evaluación exposicióncristiandelvi2
 
Introducción a los ejercicios de Red Team
Introducción a los ejercicios de Red TeamIntroducción a los ejercicios de Red Team
Introducción a los ejercicios de Red TeamEduardo Arriols Nuñez
 
ISS SA le Presenta Spector 360 de SpectorSoft
ISS SA le Presenta Spector 360 de SpectorSoftISS SA le Presenta Spector 360 de SpectorSoft
ISS SA le Presenta Spector 360 de SpectorSoftInformation Security Services SA
 
Development of Secure Applications
Development of Secure ApplicationsDevelopment of Secure Applications
Development of Secure ApplicationsRoger CARHUATOCTO
 
Introduccion par un Curso de Diseño de Aplicaciones Seguras
Introduccion par un Curso de Diseño de Aplicaciones SegurasIntroduccion par un Curso de Diseño de Aplicaciones Seguras
Introduccion par un Curso de Diseño de Aplicaciones SegurasFernando Tricas García
 
Red Team: Un nuevo enfoque para auditar controles de Ciberseguridad
Red Team: Un nuevo enfoque para auditar controles de CiberseguridadRed Team: Un nuevo enfoque para auditar controles de Ciberseguridad
Red Team: Un nuevo enfoque para auditar controles de CiberseguridadEduardo Arriols Nuñez
 
Un Evento Aislado + Un Patrón + Una Vulnerabilidad = Un Presagio para la VoIP
Un Evento Aislado + Un Patrón + Una Vulnerabilidad = Un Presagio para la VoIP �Un Evento Aislado + Un Patrón + Una Vulnerabilidad = Un Presagio para la VoIP �
Un Evento Aislado + Un Patrón + Una Vulnerabilidad = Un Presagio para la VoIP Luis Sanchez
 
Identificacion de peligros ppt
Identificacion de peligros pptIdentificacion de peligros ppt
Identificacion de peligros pptYenyeral07
 
Identificacion de peligros ppt (1)
Identificacion de peligros ppt (1)Identificacion de peligros ppt (1)
Identificacion de peligros ppt (1)Cia. Minera Subterránea
 
Identificacion de peligros ppt
Identificacion de peligros pptIdentificacion de peligros ppt
Identificacion de peligros pptAlejandro Herrero
 
QA and Security Testing in the SDLC
QA and Security Testing in the SDLCQA and Security Testing in the SDLC
QA and Security Testing in the SDLCRoger CARHUATOCTO
 
Entendiendo al enemigo
Entendiendo al enemigoEntendiendo al enemigo
Entendiendo al enemigoEsc. de Bach, Enrique Laubscher
 
89088110 seguridad-logica
89088110 seguridad-logica89088110 seguridad-logica
89088110 seguridad-logicaJulian Santos Morales
 
Hacking Ético Web
Hacking Ético WebHacking Ético Web
Hacking Ético WebEduardo Arriols Nuñez
 
jdlaksjionc
jdlaksjioncjdlaksjionc
jdlaksjioncAlberto García Illera
 
S5-AI-3.1 Auditoría en Infraestructura
S5-AI-3.1 Auditoría en InfraestructuraS5-AI-3.1 Auditoría en Infraestructura
S5-AI-3.1 Auditoría en InfraestructuraLuis Fernando Aguas Bucheli
 
S6-AI-3.2 Auditoría en Aplicaciones
S6-AI-3.2 Auditoría en AplicacionesS6-AI-3.2 Auditoría en Aplicaciones
S6-AI-3.2 Auditoría en AplicacionesLuis Fernando Aguas Bucheli
 
Penetration Testing / Ethical Hacking
Penetration Testing / Ethical HackingPenetration Testing / Ethical Hacking
Penetration Testing / Ethical HackingAlonso Caballero
 
Software de Seguridad
Software de SeguridadSoftware de Seguridad
Software de SeguridadPatricio Auquilla
 
Calidad y Seguridad en Procesos de Desarrollo de Software
Calidad y Seguridad en Procesos de Desarrollo de SoftwareCalidad y Seguridad en Procesos de Desarrollo de Software
Calidad y Seguridad en Procesos de Desarrollo de SoftwareConferencias FIST
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)Internet Security Auditors
 
Test de penetración
Test de penetraciónTest de penetración
Test de penetraciónJSACTMMusic
 

Más contenido relacionado

La actualidad más candente

Identificacion de peligros y evaluación exposición
Identificacion de peligros y evaluación exposiciónIdentificacion de peligros y evaluación exposición
Identificacion de peligros y evaluación exposicióncristiandelvi2
 
Introducción a los ejercicios de Red Team
Introducción a los ejercicios de Red TeamIntroducción a los ejercicios de Red Team
Introducción a los ejercicios de Red TeamEduardo Arriols Nuñez
 
Development of Secure Applications
Development of Secure ApplicationsDevelopment of Secure Applications
Development of Secure ApplicationsRoger CARHUATOCTO
 
Introduccion par un Curso de Diseño de Aplicaciones Seguras
Introduccion par un Curso de Diseño de Aplicaciones SegurasIntroduccion par un Curso de Diseño de Aplicaciones Seguras
Introduccion par un Curso de Diseño de Aplicaciones SegurasFernando Tricas García
 
Red Team: Un nuevo enfoque para auditar controles de Ciberseguridad
Red Team: Un nuevo enfoque para auditar controles de CiberseguridadRed Team: Un nuevo enfoque para auditar controles de Ciberseguridad
Red Team: Un nuevo enfoque para auditar controles de CiberseguridadEduardo Arriols Nuñez
 
Un Evento Aislado + Un Patrón + Una Vulnerabilidad = Un Presagio para la VoIP
Un Evento Aislado + Un Patrón + Una Vulnerabilidad = Un Presagio para la VoIP �Un Evento Aislado + Un Patrón + Una Vulnerabilidad = Un Presagio para la VoIP �
Un Evento Aislado + Un Patrón + Una Vulnerabilidad = Un Presagio para la VoIP Luis Sanchez
 
Identificacion de peligros ppt
Identificacion de peligros pptIdentificacion de peligros ppt
Identificacion de peligros pptYenyeral07
 
Identificacion de peligros ppt
Identificacion de peligros pptIdentificacion de peligros ppt
Identificacion de peligros pptAlejandro Herrero
 
QA and Security Testing in the SDLC
QA and Security Testing in the SDLCQA and Security Testing in the SDLC
QA and Security Testing in the SDLCRoger CARHUATOCTO
 
Penetration Testing / Ethical Hacking
Penetration Testing / Ethical HackingPenetration Testing / Ethical Hacking
Penetration Testing / Ethical HackingAlonso Caballero
 

La actualidad más candente (19)

Identificacion de peligros y evaluación exposición
Identificacion de peligros y evaluación exposiciónIdentificacion de peligros y evaluación exposición
Identificacion de peligros y evaluación exposición
 
Introducción a los ejercicios de Red Team
Introducción a los ejercicios de Red TeamIntroducción a los ejercicios de Red Team
Introducción a los ejercicios de Red Team
 
ISS SA le Presenta Spector 360 de SpectorSoft
ISS SA le Presenta Spector 360 de SpectorSoftISS SA le Presenta Spector 360 de SpectorSoft
ISS SA le Presenta Spector 360 de SpectorSoft
 
Development of Secure Applications
Development of Secure ApplicationsDevelopment of Secure Applications
Development of Secure Applications
 
Introduccion par un Curso de Diseño de Aplicaciones Seguras
Introduccion par un Curso de Diseño de Aplicaciones SegurasIntroduccion par un Curso de Diseño de Aplicaciones Seguras
Introduccion par un Curso de Diseño de Aplicaciones Seguras
 
Red Team: Un nuevo enfoque para auditar controles de Ciberseguridad
Red Team: Un nuevo enfoque para auditar controles de CiberseguridadRed Team: Un nuevo enfoque para auditar controles de Ciberseguridad
Red Team: Un nuevo enfoque para auditar controles de Ciberseguridad
 
Un Evento Aislado + Un Patrón + Una Vulnerabilidad = Un Presagio para la VoIP
Un Evento Aislado + Un Patrón + Una Vulnerabilidad = Un Presagio para la VoIP �Un Evento Aislado + Un Patrón + Una Vulnerabilidad = Un Presagio para la VoIP �
Un Evento Aislado + Un Patrón + Una Vulnerabilidad = Un Presagio para la VoIP
 
Identificacion de peligros ppt
Identificacion de peligros pptIdentificacion de peligros ppt
Identificacion de peligros ppt
 
Identificacion de peligros ppt (1)
Identificacion de peligros ppt (1)Identificacion de peligros ppt (1)
Identificacion de peligros ppt (1)
 
Identificacion de peligros ppt
Identificacion de peligros pptIdentificacion de peligros ppt
Identificacion de peligros ppt
 
QA and Security Testing in the SDLC
QA and Security Testing in the SDLCQA and Security Testing in the SDLC
QA and Security Testing in the SDLC
 
Entendiendo al enemigo
Entendiendo al enemigoEntendiendo al enemigo
Entendiendo al enemigo
 
89088110 seguridad-logica
89088110 seguridad-logica89088110 seguridad-logica
89088110 seguridad-logica
 
Hacking Ético Web
Hacking Ético WebHacking Ético Web
Hacking Ético Web
 
jdlaksjionc
jdlaksjioncjdlaksjionc
jdlaksjionc
 
S5-AI-3.1 Auditoría en Infraestructura
S5-AI-3.1 Auditoría en InfraestructuraS5-AI-3.1 Auditoría en Infraestructura
S5-AI-3.1 Auditoría en Infraestructura
 
S6-AI-3.2 Auditoría en Aplicaciones
S6-AI-3.2 Auditoría en AplicacionesS6-AI-3.2 Auditoría en Aplicaciones
S6-AI-3.2 Auditoría en Aplicaciones
 
Penetration Testing / Ethical Hacking
Penetration Testing / Ethical HackingPenetration Testing / Ethical Hacking
Penetration Testing / Ethical Hacking
 
Software de Seguridad
Software de SeguridadSoftware de Seguridad
Software de Seguridad
 

Similar a QA and Security in Development Process

Calidad y Seguridad en Procesos de Desarrollo de Software
Calidad y Seguridad en Procesos de Desarrollo de SoftwareCalidad y Seguridad en Procesos de Desarrollo de Software
Calidad y Seguridad en Procesos de Desarrollo de SoftwareConferencias FIST
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)Internet Security Auditors
 
Test de penetración
Test de penetraciónTest de penetración
Test de penetraciónJSACTMMusic
 
Desarrollando software de calidad
Desarrollando software de calidadDesarrollando software de calidad
Desarrollando software de calidadEQ SOFT EIRL
 
Informe de Seguridad Informática EPS SANITAS
Informe de Seguridad Informática EPS SANITASInforme de Seguridad Informática EPS SANITAS
Informe de Seguridad Informática EPS SANITASJuan407916
 
16 Cast Software Solo Pruebas 2009
16 Cast Software Solo Pruebas 200916 Cast Software Solo Pruebas 2009
16 Cast Software Solo Pruebas 2009Pepe
 
Seguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del softwareSeguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del softwareAnel Sosa
 
Análisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadAnálisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadArgentesting
 
PRUEBAS DINAMICAS - GONZALO MARTINEZ SILVERIO.pptx
PRUEBAS DINAMICAS - GONZALO MARTINEZ SILVERIO.pptxPRUEBAS DINAMICAS - GONZALO MARTINEZ SILVERIO.pptx
PRUEBAS DINAMICAS - GONZALO MARTINEZ SILVERIO.pptxGonzaloMartinezSilve
 
Cómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development LifecycleCómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development LifecycleRamiro Carballo
 
Sandra collaguazo ca 9 6
Sandra collaguazo ca 9 6Sandra collaguazo ca 9 6
Sandra collaguazo ca 9 6sandrasc1989
 
Adquisicion e implementacion
Adquisicion e implementacionAdquisicion e implementacion
Adquisicion e implementacionCecibel12
 
Tema 9 comando kali linux (1)
Tema 9 comando kali linux (1)Tema 9 comando kali linux (1)
Tema 9 comando kali linux (1)YuniorGregorio2
 
Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...
Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...
Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...Symantec LATAM
 
Tema 3 proseso de desarrollo del software
Tema 3 proseso de desarrollo del softwareTema 3 proseso de desarrollo del software
Tema 3 proseso de desarrollo del softwareLuis Garcia
 

Similar a QA and Security in Development Process (20)

Calidad y Seguridad en Procesos de Desarrollo de Software
Calidad y Seguridad en Procesos de Desarrollo de SoftwareCalidad y Seguridad en Procesos de Desarrollo de Software
Calidad y Seguridad en Procesos de Desarrollo de Software
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
 
Test de penetración
Test de penetraciónTest de penetración
Test de penetración
 
Desarrollando software de calidad
Desarrollando software de calidadDesarrollando software de calidad
Desarrollando software de calidad
 
Informe de Seguridad Informática EPS SANITAS
Informe de Seguridad Informática EPS SANITASInforme de Seguridad Informática EPS SANITAS
Informe de Seguridad Informática EPS SANITAS
 
16 Cast Software Solo Pruebas 2009
16 Cast Software Solo Pruebas 200916 Cast Software Solo Pruebas 2009
16 Cast Software Solo Pruebas 2009
 
Seguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del softwareSeguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del software
 
Ciberseguridad - IBM
Ciberseguridad - IBMCiberseguridad - IBM
Ciberseguridad - IBM
 
2020 enero Argentesting
2020 enero Argentesting2020 enero Argentesting
2020 enero Argentesting
 
Análisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadAnálisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridad
 
PRUEBAS DINAMICAS - GONZALO MARTINEZ SILVERIO.pptx
PRUEBAS DINAMICAS - GONZALO MARTINEZ SILVERIO.pptxPRUEBAS DINAMICAS - GONZALO MARTINEZ SILVERIO.pptx
PRUEBAS DINAMICAS - GONZALO MARTINEZ SILVERIO.pptx
 
Cómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development LifecycleCómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development Lifecycle
 
Sandra collaguazo ca 9 6
Sandra collaguazo ca 9 6Sandra collaguazo ca 9 6
Sandra collaguazo ca 9 6
 
Administracion seguridad
Administracion seguridadAdministracion seguridad
Administracion seguridad
 
Dti auditoria de sistemas
Dti auditoria de sistemasDti auditoria de sistemas
Dti auditoria de sistemas
 
Adquisicion e implementacion
Adquisicion e implementacionAdquisicion e implementacion
Adquisicion e implementacion
 
Tema 9 comando kali linux (1)
Tema 9 comando kali linux (1)Tema 9 comando kali linux (1)
Tema 9 comando kali linux (1)
 
Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...
Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...
Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...
 
Dominio 8 grupo 11
Dominio 8 grupo 11Dominio 8 grupo 11
Dominio 8 grupo 11
 
Tema 3 proseso de desarrollo del software
Tema 3 proseso de desarrollo del softwareTema 3 proseso de desarrollo del software
Tema 3 proseso de desarrollo del software
 

Más de Roger CARHUATOCTO

[Webinar] Creando un "backend" con WSO2
[Webinar] Creando un "backend" con WSO2 [Webinar] Creando un "backend" con WSO2
[Webinar] Creando un "backend" con WSO2 Roger CARHUATOCTO
 
[Webinar] SOA ágil con WSO2
[Webinar] SOA ágil con WSO2[Webinar] SOA ágil con WSO2
[Webinar] SOA ágil con WSO2Roger CARHUATOCTO
 
[Webinar] Gestión Identidades y Control de Acceso en los Servicios usando WSO...
[Webinar] Gestión Identidades y Control de Acceso en los Servicios usando WSO...[Webinar] Gestión Identidades y Control de Acceso en los Servicios usando WSO...
[Webinar] Gestión Identidades y Control de Acceso en los Servicios usando WSO...Roger CARHUATOCTO
 
Comparativa de Suites BPM free open source (v1.0-20110721)
Comparativa de Suites BPM free open source (v1.0-20110721)Comparativa de Suites BPM free open source (v1.0-20110721)
Comparativa de Suites BPM free open source (v1.0-20110721)Roger CARHUATOCTO
 
Orquestando Procesos de Negocio de manera ágil con Bonita BPM (v1.0)
Orquestando Procesos de Negocio de manera ágil con Bonita BPM (v1.0)Orquestando Procesos de Negocio de manera ágil con Bonita BPM (v1.0)
Orquestando Procesos de Negocio de manera ágil con Bonita BPM (v1.0)Roger CARHUATOCTO
 
BizLife - Construyendo un Ecosistema Empresarial usando WSO2
BizLife - Construyendo un Ecosistema Empresarial usando WSO2BizLife - Construyendo un Ecosistema Empresarial usando WSO2
BizLife - Construyendo un Ecosistema Empresarial usando WSO2Roger CARHUATOCTO
 
Chakray.com - Enterprise Security and IAM with WSO2IS and Penrose
Chakray.com - Enterprise Security and IAM with WSO2IS and PenroseChakray.com - Enterprise Security and IAM with WSO2IS and Penrose
Chakray.com - Enterprise Security and IAM with WSO2IS and PenroseRoger CARHUATOCTO
 
Introducción a la gestión de contenidos web con Liferay Portal 6.1.x
Introducción a la gestión de contenidos web con Liferay Portal 6.1.xIntroducción a la gestión de contenidos web con Liferay Portal 6.1.x
Introducción a la gestión de contenidos web con Liferay Portal 6.1.xRoger CARHUATOCTO
 
WSO2Con 2013 - WSO2 as a Crypto Platform
WSO2Con 2013 - WSO2 as a Crypto PlatformWSO2Con 2013 - WSO2 as a Crypto Platform
WSO2Con 2013 - WSO2 as a Crypto PlatformRoger CARHUATOCTO
 
Drupal camp2010bcn cmis-drupal_alfresco-v1.1
Drupal camp2010bcn cmis-drupal_alfresco-v1.1Drupal camp2010bcn cmis-drupal_alfresco-v1.1
Drupal camp2010bcn cmis-drupal_alfresco-v1.1Roger CARHUATOCTO
 
Fast building Vertical Portals: e-Learning and Social Network
Fast building Vertical Portals: e-Learning and Social Network Fast building Vertical Portals: e-Learning and Social Network
Fast building Vertical Portals: e-Learning and Social Network Roger CARHUATOCTO
 
03 webinar content_deliveryplatform_v1.0-intix
03 webinar content_deliveryplatform_v1.0-intix03 webinar content_deliveryplatform_v1.0-intix
03 webinar content_deliveryplatform_v1.0-intixRoger CARHUATOCTO
 
01 webinar caso_migracion_portalweb_v1.4.1-intix
01 webinar caso_migracion_portalweb_v1.4.1-intix01 webinar caso_migracion_portalweb_v1.4.1-intix
01 webinar caso_migracion_portalweb_v1.4.1-intixRoger CARHUATOCTO
 
02 webinar gestion_expedientes_v0.6.1-intix
02 webinar gestion_expedientes_v0.6.1-intix02 webinar gestion_expedientes_v0.6.1-intix
02 webinar gestion_expedientes_v0.6.1-intixRoger CARHUATOCTO
 
Drupal Camp2010 Bcn Cmis Drupal Alfresco V1 1
Drupal Camp2010 Bcn Cmis Drupal Alfresco V1 1Drupal Camp2010 Bcn Cmis Drupal Alfresco V1 1
Drupal Camp2010 Bcn Cmis Drupal Alfresco V1 1Roger CARHUATOCTO
 
1st Peruvian It Security Workshop Flyer
1st Peruvian It Security Workshop Flyer1st Peruvian It Security Workshop Flyer
1st Peruvian It Security Workshop FlyerRoger CARHUATOCTO
 
Calidad y Seguridad en el SDLC V1 4
Calidad y Seguridad en el SDLC V1 4Calidad y Seguridad en el SDLC V1 4
Calidad y Seguridad en el SDLC V1 4Roger CARHUATOCTO
 
Intrusion Detection System V1.2
Intrusion Detection System V1.2Intrusion Detection System V1.2
Intrusion Detection System V1.2Roger CARHUATOCTO
 

Más de Roger CARHUATOCTO (20)

[Webinar] Creando un "backend" con WSO2
[Webinar] Creando un "backend" con WSO2 [Webinar] Creando un "backend" con WSO2
[Webinar] Creando un "backend" con WSO2
 
[Webinar] SOA ágil con WSO2
[Webinar] SOA ágil con WSO2[Webinar] SOA ágil con WSO2
[Webinar] SOA ágil con WSO2
 
[Webinar] Gestión Identidades y Control de Acceso en los Servicios usando WSO...
[Webinar] Gestión Identidades y Control de Acceso en los Servicios usando WSO...[Webinar] Gestión Identidades y Control de Acceso en los Servicios usando WSO...
[Webinar] Gestión Identidades y Control de Acceso en los Servicios usando WSO...
 
Comparativa de Suites BPM free open source (v1.0-20110721)
Comparativa de Suites BPM free open source (v1.0-20110721)Comparativa de Suites BPM free open source (v1.0-20110721)
Comparativa de Suites BPM free open source (v1.0-20110721)
 
Orquestando Procesos de Negocio de manera ágil con Bonita BPM (v1.0)
Orquestando Procesos de Negocio de manera ágil con Bonita BPM (v1.0)Orquestando Procesos de Negocio de manera ágil con Bonita BPM (v1.0)
Orquestando Procesos de Negocio de manera ágil con Bonita BPM (v1.0)
 
BizLife - Construyendo un Ecosistema Empresarial usando WSO2
BizLife - Construyendo un Ecosistema Empresarial usando WSO2BizLife - Construyendo un Ecosistema Empresarial usando WSO2
BizLife - Construyendo un Ecosistema Empresarial usando WSO2
 
Chakray.com - Enterprise Security and IAM with WSO2IS and Penrose
Chakray.com - Enterprise Security and IAM with WSO2IS and PenroseChakray.com - Enterprise Security and IAM with WSO2IS and Penrose
Chakray.com - Enterprise Security and IAM with WSO2IS and Penrose
 
Introducción a la gestión de contenidos web con Liferay Portal 6.1.x
Introducción a la gestión de contenidos web con Liferay Portal 6.1.xIntroducción a la gestión de contenidos web con Liferay Portal 6.1.x
Introducción a la gestión de contenidos web con Liferay Portal 6.1.x
 
WSO2Con 2013 - WSO2 as a Crypto Platform
WSO2Con 2013 - WSO2 as a Crypto PlatformWSO2Con 2013 - WSO2 as a Crypto Platform
WSO2Con 2013 - WSO2 as a Crypto Platform
 
Drupal camp2010bcn cmis-drupal_alfresco-v1.1
Drupal camp2010bcn cmis-drupal_alfresco-v1.1Drupal camp2010bcn cmis-drupal_alfresco-v1.1
Drupal camp2010bcn cmis-drupal_alfresco-v1.1
 
Fast building Vertical Portals: e-Learning and Social Network
Fast building Vertical Portals: e-Learning and Social Network Fast building Vertical Portals: e-Learning and Social Network
Fast building Vertical Portals: e-Learning and Social Network
 
03 webinar content_deliveryplatform_v1.0-intix
03 webinar content_deliveryplatform_v1.0-intix03 webinar content_deliveryplatform_v1.0-intix
03 webinar content_deliveryplatform_v1.0-intix
 
01 webinar caso_migracion_portalweb_v1.4.1-intix
01 webinar caso_migracion_portalweb_v1.4.1-intix01 webinar caso_migracion_portalweb_v1.4.1-intix
01 webinar caso_migracion_portalweb_v1.4.1-intix
 
02 webinar gestion_expedientes_v0.6.1-intix
02 webinar gestion_expedientes_v0.6.1-intix02 webinar gestion_expedientes_v0.6.1-intix
02 webinar gestion_expedientes_v0.6.1-intix
 
Drupal Camp2010 Bcn Cmis Drupal Alfresco V1 1
Drupal Camp2010 Bcn Cmis Drupal Alfresco V1 1Drupal Camp2010 Bcn Cmis Drupal Alfresco V1 1
Drupal Camp2010 Bcn Cmis Drupal Alfresco V1 1
 
1st Peruvian It Security Workshop Flyer
1st Peruvian It Security Workshop Flyer1st Peruvian It Security Workshop Flyer
1st Peruvian It Security Workshop Flyer
 
PKI Aplicada V1.3
PKI Aplicada V1.3PKI Aplicada V1.3
PKI Aplicada V1.3
 
Calidad y Seguridad en el SDLC V1 4
Calidad y Seguridad en el SDLC V1 4Calidad y Seguridad en el SDLC V1 4
Calidad y Seguridad en el SDLC V1 4
 
Intrusion Detection System V1.2
Intrusion Detection System V1.2Intrusion Detection System V1.2
Intrusion Detection System V1.2
 
Digital Forensics V1.4
Digital Forensics V1.4Digital Forensics V1.4
Digital Forensics V1.4
 

Último

Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúCEFERINO DELGADO FLORES
 
tarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzztarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzzAlexandergo5
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerValentinaTabares11
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMidwarHenryLOZAFLORE
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxAlexander López
 
Presentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia ArtificialPresentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia Artificialcynserafini89
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOnarvaezisabella21
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfjeondanny1997
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxAlexander López
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptchaverriemily794
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxGESTECPERUSAC
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfedepmariaperez
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son241514984
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesEdomar AR
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptJavierHerrera662252
 

Último (20)

Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
 
tarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzztarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzz
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel taller
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptx
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
 
Presentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia ArtificialPresentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia Artificial
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptx
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdf
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, Aplicaciones
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
 

QA and Security in Development Process

  • 1. Security in Offshore/Outsource Application Development Pg. de Gràcia, 85 2ª Barcelona T. 93 445 34 00 F. 93 487 69 87 Soldat Arrom Quart, 1 2ª mod 5 Palma de Mallorca T. 971 756 820 F. 971 757 274 Roger Carhuatocto www.in2.es roger.carhuatocto {{AT}} in2.es www.gos4i.org
  • 2. Proceso de Desarrollo de Software - Offshore/Outsource 1 2 3 4 5 6 Requerimientos Diseño Plan de Implementación Resultado Retroalimentación y casos de uso Pruebas y codificación de Pruebas y feedback Empresa Software Usuario Contratante Factory Final © IN2 - Confidencial 2
  • 3. Proceso de Desarrollo de Software con Calidad y Seguridad  Proceso clásico siguien pautas generales: › ISO9001:2000, CMM, Metodologías Ágiles, ....  Objetivo: › Detectar con antelación el error, en la etapa de diseño y no en producción › Ahorro del 60% de costes en actividades de Solución de un error cuando se detecta en la fase de Diseño.  Alcance: › Uso de metodologías clásicas de desarrollo pero con una adición de técnicas de testing y de aseguramiento de la calidad › El aseguramiento se extiendo a los largo del proceso › Soporte con herramientas al proceso de aseguramientos: • Gestión de Incidentes y/o Bugtracker • Herramientas automatizadas para identificar vulnerabilidades en código fuente, en funcionalidades • Herramientas para ejecutar pruebas de carga, etc. • Herramientas para probar la Seguridad • Sistema de Gestión de Pruebas © IN2 - Confidencial 3
  • 4. Proceso de Desarrollo de Software con Calidad y Seguridad Requerimientos de Revisión Análisis Estático Pruebas de Seguridad y Calidad Externa (Herramientas) Penetración Casos Análisis Pruebas de Seguridad Análisis Monitorización de abuso de Riesgo basadas en el Riesgo de Riesgo y Seguimiento 1 2 3 4 5 6 Requerimientos Diseño Plan de Implementación Resultado Retroalimentación y casos de uso Pruebas y codificación de Pruebas y feedback Selección de Herramientas Pruebas de Pruebas de Carga © IN2 - Confidencial 4
  • 5. 1. Las Técnicas: Misuse-Abuse Case y Security Use Case (1/2) © IN2 - Confidencial 5
  • 6. 1. Las Técnicas: Misuse-Abuse Case y Security Use Case (1/2)  Casos de Uso › Requerimiento funcional de usuario › Comportamiento normal de lo que será la aplicación  Misuse-Abuse Case › No son requerimientos › No es el comportamiento normal › Comportamient olvidado: • Comportamiento anormal • Comportamiento de seguridad • Etc...  Es importante hacer un análisis de amenazas! © IN2 - Confidencial 6
  • 7. 2. Análisis Estático de Código  Método para el análisis del código fuente o código objeto  Sirve para ganar conocimiento de lo que la Aplicación hará en producción. además sirve para establecer algún criterio de corrección en el código.  Técnicas › Black Box Testing › White Box Testing • Code Coverage › Profiling • De performance • De flujo • De memoria • Etc...  Métricas de Software © IN2 - Confidencial 7
  • 8. Herramientas Code Coverage/Profiling para JAVA y Free, Open Source  Jrat: Performance Profiling , http://jrat.sourceforge.net/ © IN2 - Confidencial 8
  • 9. Herramientas Code Coverage/Profiling para JAVA y Free, Open Source  Extensible Java Profiler › http://ejp.sourceforge.net  Basado JVM Profiler Interface (JVMPI)  http://java.sun.com/j2se/1.4.2/docs/guide/jvmpi © IN2 - Confidencial 9
  • 10. Herramientas Code Coverage/Profiling para JAVA y Free, Open Source  Cougaar Memory Profiler › http://profiler.cougaar.org  Jcoverage › Trabaja hasta nivel de byte-code › http://jcoverage.com  Cobertura › % de accesos a código desde los Test › Qué parte del código ha sido probado pocas veces © IN2 - Confidencial 10
  • 11. Conocimiento-Patrones comunes de Errores en el Código de App  (Kingdoms) Fortify Taxonomy of Software Security Errors: http://vulncat.fortifysoftware.com/  19 Deadly Sins of Sw Security: http://www.amazon.com/gp/product/0072260858/104-4300195-4358349  OWASP Top Ten Most Critical Web Application Security Vuln: http://www.owasp.org/documentation/topten.html © IN2 - Confidencial 11
  • 12. IN2, Compromiso con la Confianza Muchas Gracias © IN2 - Confidencial 12