Development of Secure Applications

Desarrollo de Aplicaciones Seguras Roger Carhuatocto rcarhuatocto {at} intix.info 05.JULIO.2006

Index ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]

Objetivos/Alcance ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]

Estado actual ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]

Seguridad-Calidad vs. Coste ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],Coste Punto de equilibrio Nivel de Seguridad Riesgos Seguridad

Definimos la Problemática ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]

El principio de “Pareto” ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]

Enfoque Sistémico al Problema de Calidad/Seguridad ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]

Vectores o dominios de la Seguridad Seguridad Preventiva Seguridad Reactiva Seguridad Lógica Desarrollo de Software y Aplicaciones Networking, Sistemas e Infraestructura Sistemas de Gestión Procesos Negocio

Calidad y Seguridad en el Proceso de Desarrollo ,[object Object],[object Object],[object Object],Proceso de Desarrollo de Software Producto Software Sistema de Gestión de la Calidad y Seguridad Metodologías Ágiles Estándares e ISOs Herramientas de Soporte a QA Herramientas para Auditorias 1. Calidad y Seguridad en el proceso de Desarrollo 2. Calidad y Testing de Software 3. Seguridad en el Software ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],Proceso de Testing

Revisión del Ciclo de vida del Software: Usar el criterio ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],Análisis Diseño Transición Construcción MÉTODOS, HERRAMIENTAS Y TÉCNICAS: QA & SECURITY

Se preventivo, no reactivo en el “Ciclo de vida del Desarrollo de SW” ,[object Object],[object Object],[object Object],[object Object],Attack pattern Integrate in IDS Pentest Vulnerability detection Exploit The learning process = Four days (aprox.)

Enfoque Sistémico ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],Calidad Total Forma de gestión de una organización centrada en la calidad basada en la participación de todos sus miembros y que apunta al éxito a largo plazo por medio de la satisfacción del cliente y a proporcionar beneficios para todos los miembros de la organización y para la sociedad. Producto Ext Proceso Ext Cliente Proveedor

Técnicas más usadas para explotar vulnerabilidades

Origen de las Vulnerabilidades por Aplicación

Predicciones en Software Security

Origen de Defectos en SW – No es código!!

ROI en Quality/Security Software

Metodologías, buenas prácticas en Seguridad ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]

Metodología de Calidad en Software y Proceso ,[object Object],[object Object],[object Object],[object Object]

Conclusiones Finales ,[object Object],[object Object],[object Object]

Referencias ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]

Nuevo SDLC con Calidad y Seguridad 1 Requerimientos y casos de uso Diseño Plan de Pruebas Implementación y codificación Resultado de Pruebas Retroalimentación y feedback 2 3 4 5 6 Casos de abuso Análisis de Riesgo Pruebas de Seguridad basadas en el Riesgo Monitorización y Seguimiento Requerimientos de Seguridad y Calidad Revisión Externa Análisis Estático (Herramientas) Análisis de Riesgo Pruebas de Penetración Selección de Herramientas de Pruebas Pruebas de Carga

Nuevo SDLC con Calidad y Seguridad Usuario Final Empresa Contratante Software Factory 1 2 3 4 5 6 Requerimientos y casos de uso Diseño Plan de Pruebas Implementación y codificación Resultado de Pruebas Retroalimentación y feedback

Nuevo SDLC con Calidad y Seguridad - enfoque ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]

Gestión de Requerimientos y Análisis: Misuse-Abuse Case y Security Use Case (1/2)

Gestión de Requerimientos y Análisis: Misuse-Abuse Case y Security Use Case (1/2) ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]

Diseño y Construcción: Análisis Estático de Código ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]

Diseño y Construcción: Herramientas Code Coverage/Profiling para JAVA y Free, Open Source ,[object Object]

Diseño y Construcción: Herramientas Code Coverage/Profiling para JAVA y Free, Open Source ,[object Object],[object Object],[object Object],[object Object]

Diseño y Construcción: Herramientas Code Coverage/Profiling para JAVA y Free, Open Source ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]

Otras herramientas de testing (1/2) ,[object Object]

Otras herramientas de testing (2/2) ,[object Object]

Diseño y Construcción: Conocimiento-Patrones comunes de Errores en el Código de App ,[object Object],[object Object],[object Object]

Referencias - testing ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]

Development of Secure Applications

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Destacado

Destacado (8)

Similar a Development of Secure Applications

Similar a Development of Secure Applications (20)

Más de Roger CARHUATOCTO

Más de Roger CARHUATOCTO (20)

Último

Último (20)

Development of Secure Applications