SlideShare una empresa de Scribd logo

QA and Security in Development Process

Roger CARHUATOCTO
Roger CARHUATOCTO

QA and Security in Development Process

Tecnología
1 de 12
Security in Offshore/Outsource Application Development Pg. de Gràcia, 85 2ª Barcelona T. 93 445 34 00 F. 93 487 69 87 Soldat Arrom Quart, 1 2ª mod 5 Palma de Mallorca T. 971 756 820 F. 971 757 274 Roger Carhuatocto www.in2.es roger.carhuatocto {{AT}} in2.es www.gos4i.org
Proceso de Desarrollo de Software - Offshore/Outsource 1 2 3 4 5 6 Requerimientos Diseño Plan de Implementación Resultado Retroalimentación y casos de uso Pruebas y codificación de Pruebas y feedback Empresa Software Usuario Contratante Factory Final © IN2 - Confidencial 2
Proceso de Desarrollo de Software con Calidad y Seguridad  Proceso clásico siguien pautas generales: › ISO9001:2000, CMM, Metodologías Ágiles, ....  Objetivo: › Detectar con antelación el error, en la etapa de diseño y no en producción › Ahorro del 60% de costes en actividades de Solución de un error cuando se detecta en la fase de Diseño.  Alcance: › Uso de metodologías clásicas de desarrollo pero con una adición de técnicas de testing y de aseguramiento de la calidad › El aseguramiento se extiendo a los largo del proceso › Soporte con herramientas al proceso de aseguramientos: • Gestión de Incidentes y/o Bugtracker • Herramientas automatizadas para identificar vulnerabilidades en código fuente, en funcionalidades • Herramientas para ejecutar pruebas de carga, etc. • Herramientas para probar la Seguridad • Sistema de Gestión de Pruebas © IN2 - Confidencial 3
Proceso de Desarrollo de Software con Calidad y Seguridad Requerimientos de Revisión Análisis Estático Pruebas de Seguridad y Calidad Externa (Herramientas) Penetración Casos Análisis Pruebas de Seguridad Análisis Monitorización de abuso de Riesgo basadas en el Riesgo de Riesgo y Seguimiento 1 2 3 4 5 6 Requerimientos Diseño Plan de Implementación Resultado Retroalimentación y casos de uso Pruebas y codificación de Pruebas y feedback Selección de Herramientas Pruebas de Pruebas de Carga © IN2 - Confidencial 4
1. Las Técnicas: Misuse-Abuse Case y Security Use Case (1/2) © IN2 - Confidencial 5
1. Las Técnicas: Misuse-Abuse Case y Security Use Case (1/2)  Casos de Uso › Requerimiento funcional de usuario › Comportamiento normal de lo que será la aplicación  Misuse-Abuse Case › No son requerimientos › No es el comportamiento normal › Comportamient olvidado: • Comportamiento anormal • Comportamiento de seguridad • Etc...  Es importante hacer un análisis de amenazas! © IN2 - Confidencial 6
2. Análisis Estático de Código  Método para el análisis del código fuente o código objeto  Sirve para ganar conocimiento de lo que la Aplicación hará en producción. además sirve para establecer algún criterio de corrección en el código.  Técnicas › Black Box Testing › White Box Testing • Code Coverage › Profiling • De performance • De flujo • De memoria • Etc...  Métricas de Software © IN2 - Confidencial 7
Herramientas Code Coverage/Profiling para JAVA y Free, Open Source  Jrat: Performance Profiling , http://jrat.sourceforge.net/ © IN2 - Confidencial 8
Herramientas Code Coverage/Profiling para JAVA y Free, Open Source  Extensible Java Profiler › http://ejp.sourceforge.net  Basado JVM Profiler Interface (JVMPI)  http://java.sun.com/j2se/1.4.2/docs/guide/jvmpi © IN2 - Confidencial 9
Herramientas Code Coverage/Profiling para JAVA y Free, Open Source  Cougaar Memory Profiler › http://profiler.cougaar.org  Jcoverage › Trabaja hasta nivel de byte-code › http://jcoverage.com  Cobertura › % de accesos a código desde los Test › Qué parte del código ha sido probado pocas veces © IN2 - Confidencial 10
Conocimiento-Patrones comunes de Errores en el Código de App  (Kingdoms) Fortify Taxonomy of Software Security Errors: http://vulncat.fortifysoftware.com/  19 Deadly Sins of Sw Security: http://www.amazon.com/gp/product/0072260858/104-4300195-4358349  OWASP Top Ten Most Critical Web Application Security Vuln: http://www.owasp.org/documentation/topten.html © IN2 - Confidencial 11
IN2, Compromiso con la Confianza Muchas Gracias © IN2 - Confidencial 12

Recomendados

Security in off-shore Application Development
Security in off-shore Application DevelopmentSecurity in off-shore Application Development
Security in off-shore Application DevelopmentConferencias FIST
 
Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...
Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...
Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...Optimyth Software
 
Red Team: Auditando los procesos de detección y respuesta a incidentes
Red Team: Auditando los procesos de detección y respuesta a incidentesRed Team: Auditando los procesos de detección y respuesta a incidentes
Red Team: Auditando los procesos de detección y respuesta a incidentesEduardo Arriols Nuñez
 
Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...
Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...
Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...Eduardo Arriols Nuñez
 
Technical Approach to Red Team Operations
Technical Approach to Red Team OperationsTechnical Approach to Red Team Operations
Technical Approach to Red Team OperationsEduardo Arriols Nuñez
 
Red Team: Next Generation Penetration Testing
Red Team: Next Generation Penetration TestingRed Team: Next Generation Penetration Testing
Red Team: Next Generation Penetration TestingEduardo Arriols Nuñez
 
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?Eduardo Arriols Nuñez
 
Ciberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesCiberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesSantiago Toribio Ayuga
 

Recomendados

Security in off-shore Application Development
Security in off-shore Application DevelopmentSecurity in off-shore Application Development
Security in off-shore Application DevelopmentConferencias FIST
 
Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...
Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...
Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...Optimyth Software
 
Red Team: Auditando los procesos de detección y respuesta a incidentes
Red Team: Auditando los procesos de detección y respuesta a incidentesRed Team: Auditando los procesos de detección y respuesta a incidentes
Red Team: Auditando los procesos de detección y respuesta a incidentesEduardo Arriols Nuñez
 
Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...
Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...
Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...Eduardo Arriols Nuñez
 
Technical Approach to Red Team Operations
Technical Approach to Red Team OperationsTechnical Approach to Red Team Operations
Technical Approach to Red Team OperationsEduardo Arriols Nuñez
 
Red Team: Next Generation Penetration Testing
Red Team: Next Generation Penetration TestingRed Team: Next Generation Penetration Testing
Red Team: Next Generation Penetration TestingEduardo Arriols Nuñez
 
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?Eduardo Arriols Nuñez
 
Ciberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesCiberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesSantiago Toribio Ayuga
 
Identificacion de peligros y evaluación exposición
Identificacion de peligros y evaluación exposiciónIdentificacion de peligros y evaluación exposición
Identificacion de peligros y evaluación exposicióncristiandelvi2
 
Introducción a los ejercicios de Red Team
Introducción a los ejercicios de Red TeamIntroducción a los ejercicios de Red Team
Introducción a los ejercicios de Red TeamEduardo Arriols Nuñez
 
ISS SA le Presenta Spector 360 de SpectorSoft
ISS SA le Presenta Spector 360 de SpectorSoftISS SA le Presenta Spector 360 de SpectorSoft
ISS SA le Presenta Spector 360 de SpectorSoftInformation Security Services SA
 
Development of Secure Applications
Development of Secure ApplicationsDevelopment of Secure Applications
Development of Secure ApplicationsRoger CARHUATOCTO
 
Introduccion par un Curso de Diseño de Aplicaciones Seguras
Introduccion par un Curso de Diseño de Aplicaciones SegurasIntroduccion par un Curso de Diseño de Aplicaciones Seguras
Introduccion par un Curso de Diseño de Aplicaciones SegurasFernando Tricas García
 
Red Team: Un nuevo enfoque para auditar controles de Ciberseguridad
Red Team: Un nuevo enfoque para auditar controles de CiberseguridadRed Team: Un nuevo enfoque para auditar controles de Ciberseguridad
Red Team: Un nuevo enfoque para auditar controles de CiberseguridadEduardo Arriols Nuñez
 
Un Evento Aislado + Un Patrón + Una Vulnerabilidad = Un Presagio para la VoIP
Un Evento Aislado + Un Patrón + Una Vulnerabilidad = Un Presagio para la VoIP �Un Evento Aislado + Un Patrón + Una Vulnerabilidad = Un Presagio para la VoIP �
Un Evento Aislado + Un Patrón + Una Vulnerabilidad = Un Presagio para la VoIP Luis Sanchez
 
Identificacion de peligros ppt
Identificacion de peligros pptIdentificacion de peligros ppt
Identificacion de peligros pptYenyeral07
 
Identificacion de peligros ppt (1)
Identificacion de peligros ppt (1)Identificacion de peligros ppt (1)
Identificacion de peligros ppt (1)Cia. Minera Subterránea
 
Identificacion de peligros ppt
Identificacion de peligros pptIdentificacion de peligros ppt
Identificacion de peligros pptAlejandro Herrero
 
QA and Security Testing in the SDLC
QA and Security Testing in the SDLCQA and Security Testing in the SDLC
QA and Security Testing in the SDLCRoger CARHUATOCTO
 
Entendiendo al enemigo
Entendiendo al enemigoEntendiendo al enemigo
Entendiendo al enemigoEsc. de Bach, Enrique Laubscher
 
89088110 seguridad-logica
89088110 seguridad-logica89088110 seguridad-logica
89088110 seguridad-logicaJulian Santos Morales
 
Hacking Ético Web
Hacking Ético WebHacking Ético Web
Hacking Ético WebEduardo Arriols Nuñez
 
jdlaksjionc
jdlaksjioncjdlaksjionc
jdlaksjioncAlberto García Illera
 
S5-AI-3.1 Auditoría en Infraestructura
S5-AI-3.1 Auditoría en InfraestructuraS5-AI-3.1 Auditoría en Infraestructura
S5-AI-3.1 Auditoría en InfraestructuraLuis Fernando Aguas Bucheli
 
S6-AI-3.2 Auditoría en Aplicaciones
S6-AI-3.2 Auditoría en AplicacionesS6-AI-3.2 Auditoría en Aplicaciones
S6-AI-3.2 Auditoría en AplicacionesLuis Fernando Aguas Bucheli
 
Penetration Testing / Ethical Hacking
Penetration Testing / Ethical HackingPenetration Testing / Ethical Hacking
Penetration Testing / Ethical HackingAlonso Caballero
 
Software de Seguridad
Software de SeguridadSoftware de Seguridad
Software de SeguridadPatricio Auquilla
 
Calidad y Seguridad en Procesos de Desarrollo de Software
Calidad y Seguridad en Procesos de Desarrollo de SoftwareCalidad y Seguridad en Procesos de Desarrollo de Software
Calidad y Seguridad en Procesos de Desarrollo de SoftwareConferencias FIST
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)Internet Security Auditors
 
Test de penetración
Test de penetraciónTest de penetración
Test de penetraciónJSACTMMusic
 

Más contenido relacionado

La actualidad más candente

Identificacion de peligros y evaluación exposición
Identificacion de peligros y evaluación exposiciónIdentificacion de peligros y evaluación exposición
Identificacion de peligros y evaluación exposicióncristiandelvi2
 
Introducción a los ejercicios de Red Team
Introducción a los ejercicios de Red TeamIntroducción a los ejercicios de Red Team
Introducción a los ejercicios de Red TeamEduardo Arriols Nuñez
 
Development of Secure Applications
Development of Secure ApplicationsDevelopment of Secure Applications
Development of Secure ApplicationsRoger CARHUATOCTO
 
Introduccion par un Curso de Diseño de Aplicaciones Seguras
Introduccion par un Curso de Diseño de Aplicaciones SegurasIntroduccion par un Curso de Diseño de Aplicaciones Seguras
Introduccion par un Curso de Diseño de Aplicaciones SegurasFernando Tricas García
 
Red Team: Un nuevo enfoque para auditar controles de Ciberseguridad
Red Team: Un nuevo enfoque para auditar controles de CiberseguridadRed Team: Un nuevo enfoque para auditar controles de Ciberseguridad
Red Team: Un nuevo enfoque para auditar controles de CiberseguridadEduardo Arriols Nuñez
 
Un Evento Aislado + Un Patrón + Una Vulnerabilidad = Un Presagio para la VoIP
Un Evento Aislado + Un Patrón + Una Vulnerabilidad = Un Presagio para la VoIP �Un Evento Aislado + Un Patrón + Una Vulnerabilidad = Un Presagio para la VoIP �
Un Evento Aislado + Un Patrón + Una Vulnerabilidad = Un Presagio para la VoIP Luis Sanchez
 
Identificacion de peligros ppt
Identificacion de peligros pptIdentificacion de peligros ppt
Identificacion de peligros pptYenyeral07
 
Identificacion de peligros ppt
Identificacion de peligros pptIdentificacion de peligros ppt
Identificacion de peligros pptAlejandro Herrero
 
QA and Security Testing in the SDLC
QA and Security Testing in the SDLCQA and Security Testing in the SDLC
QA and Security Testing in the SDLCRoger CARHUATOCTO
 
Penetration Testing / Ethical Hacking
Penetration Testing / Ethical HackingPenetration Testing / Ethical Hacking
Penetration Testing / Ethical HackingAlonso Caballero
 

La actualidad más candente (19)

Identificacion de peligros y evaluación exposición
Identificacion de peligros y evaluación exposiciónIdentificacion de peligros y evaluación exposición
Identificacion de peligros y evaluación exposición
 
Introducción a los ejercicios de Red Team
Introducción a los ejercicios de Red TeamIntroducción a los ejercicios de Red Team
Introducción a los ejercicios de Red Team
 
ISS SA le Presenta Spector 360 de SpectorSoft
ISS SA le Presenta Spector 360 de SpectorSoftISS SA le Presenta Spector 360 de SpectorSoft
ISS SA le Presenta Spector 360 de SpectorSoft
 
Development of Secure Applications
Development of Secure ApplicationsDevelopment of Secure Applications
Development of Secure Applications
 
Introduccion par un Curso de Diseño de Aplicaciones Seguras
Introduccion par un Curso de Diseño de Aplicaciones SegurasIntroduccion par un Curso de Diseño de Aplicaciones Seguras
Introduccion par un Curso de Diseño de Aplicaciones Seguras
 
Red Team: Un nuevo enfoque para auditar controles de Ciberseguridad
Red Team: Un nuevo enfoque para auditar controles de CiberseguridadRed Team: Un nuevo enfoque para auditar controles de Ciberseguridad
Red Team: Un nuevo enfoque para auditar controles de Ciberseguridad
 
Un Evento Aislado + Un Patrón + Una Vulnerabilidad = Un Presagio para la VoIP
Un Evento Aislado + Un Patrón + Una Vulnerabilidad = Un Presagio para la VoIP �Un Evento Aislado + Un Patrón + Una Vulnerabilidad = Un Presagio para la VoIP �
Un Evento Aislado + Un Patrón + Una Vulnerabilidad = Un Presagio para la VoIP
 
Identificacion de peligros ppt
Identificacion de peligros pptIdentificacion de peligros ppt
Identificacion de peligros ppt
 
Identificacion de peligros ppt (1)
Identificacion de peligros ppt (1)Identificacion de peligros ppt (1)
Identificacion de peligros ppt (1)
 
Identificacion de peligros ppt
Identificacion de peligros pptIdentificacion de peligros ppt
Identificacion de peligros ppt
 
QA and Security Testing in the SDLC
QA and Security Testing in the SDLCQA and Security Testing in the SDLC
QA and Security Testing in the SDLC
 
Entendiendo al enemigo
Entendiendo al enemigoEntendiendo al enemigo
Entendiendo al enemigo
 
89088110 seguridad-logica
89088110 seguridad-logica89088110 seguridad-logica
89088110 seguridad-logica
 
Hacking Ético Web
Hacking Ético WebHacking Ético Web
Hacking Ético Web
 
jdlaksjionc
jdlaksjioncjdlaksjionc
jdlaksjionc
 
S5-AI-3.1 Auditoría en Infraestructura
S5-AI-3.1 Auditoría en InfraestructuraS5-AI-3.1 Auditoría en Infraestructura
S5-AI-3.1 Auditoría en Infraestructura
 
S6-AI-3.2 Auditoría en Aplicaciones
S6-AI-3.2 Auditoría en AplicacionesS6-AI-3.2 Auditoría en Aplicaciones
S6-AI-3.2 Auditoría en Aplicaciones
 
Penetration Testing / Ethical Hacking
Penetration Testing / Ethical HackingPenetration Testing / Ethical Hacking
Penetration Testing / Ethical Hacking
 
Software de Seguridad
Software de SeguridadSoftware de Seguridad
Software de Seguridad
 

Similar a QA and Security in Development Process

Calidad y Seguridad en Procesos de Desarrollo de Software
Calidad y Seguridad en Procesos de Desarrollo de SoftwareCalidad y Seguridad en Procesos de Desarrollo de Software
Calidad y Seguridad en Procesos de Desarrollo de SoftwareConferencias FIST
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)Internet Security Auditors
 
Test de penetración
Test de penetraciónTest de penetración
Test de penetraciónJSACTMMusic
 
Desarrollando software de calidad
Desarrollando software de calidadDesarrollando software de calidad
Desarrollando software de calidadEQ SOFT EIRL
 
Informe de Seguridad Informática EPS SANITAS
Informe de Seguridad Informática EPS SANITASInforme de Seguridad Informática EPS SANITAS
Informe de Seguridad Informática EPS SANITASJuan407916
 
16 Cast Software Solo Pruebas 2009
16 Cast Software Solo Pruebas 200916 Cast Software Solo Pruebas 2009
16 Cast Software Solo Pruebas 2009Pepe
 
Seguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del softwareSeguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del softwareAnel Sosa
 
Análisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadAnálisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadArgentesting
 
PRUEBAS DINAMICAS - GONZALO MARTINEZ SILVERIO.pptx
PRUEBAS DINAMICAS - GONZALO MARTINEZ SILVERIO.pptxPRUEBAS DINAMICAS - GONZALO MARTINEZ SILVERIO.pptx
PRUEBAS DINAMICAS - GONZALO MARTINEZ SILVERIO.pptxGonzaloMartinezSilve
 
Cómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development LifecycleCómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development LifecycleRamiro Carballo
 
Sandra collaguazo ca 9 6
Sandra collaguazo ca 9 6Sandra collaguazo ca 9 6
Sandra collaguazo ca 9 6sandrasc1989
 
Adquisicion e implementacion
Adquisicion e implementacionAdquisicion e implementacion
Adquisicion e implementacionCecibel12
 
Tema 9 comando kali linux (1)
Tema 9 comando kali linux (1)Tema 9 comando kali linux (1)
Tema 9 comando kali linux (1)YuniorGregorio2
 
Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...
Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...
Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...Symantec LATAM
 
Tema 3 proseso de desarrollo del software
Tema 3 proseso de desarrollo del softwareTema 3 proseso de desarrollo del software
Tema 3 proseso de desarrollo del softwareLuis Garcia
 

Similar a QA and Security in Development Process (20)

Calidad y Seguridad en Procesos de Desarrollo de Software
Calidad y Seguridad en Procesos de Desarrollo de SoftwareCalidad y Seguridad en Procesos de Desarrollo de Software
Calidad y Seguridad en Procesos de Desarrollo de Software
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
 
Test de penetración
Test de penetraciónTest de penetración
Test de penetración
 
Desarrollando software de calidad
Desarrollando software de calidadDesarrollando software de calidad
Desarrollando software de calidad
 
Informe de Seguridad Informática EPS SANITAS
Informe de Seguridad Informática EPS SANITASInforme de Seguridad Informática EPS SANITAS
Informe de Seguridad Informática EPS SANITAS
 
16 Cast Software Solo Pruebas 2009
16 Cast Software Solo Pruebas 200916 Cast Software Solo Pruebas 2009
16 Cast Software Solo Pruebas 2009
 
Seguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del softwareSeguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del software
 
Ciberseguridad - IBM
Ciberseguridad - IBMCiberseguridad - IBM
Ciberseguridad - IBM
 
2020 enero Argentesting
2020 enero Argentesting2020 enero Argentesting
2020 enero Argentesting
 
Análisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadAnálisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridad
 
PRUEBAS DINAMICAS - GONZALO MARTINEZ SILVERIO.pptx
PRUEBAS DINAMICAS - GONZALO MARTINEZ SILVERIO.pptxPRUEBAS DINAMICAS - GONZALO MARTINEZ SILVERIO.pptx
PRUEBAS DINAMICAS - GONZALO MARTINEZ SILVERIO.pptx
 
Cómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development LifecycleCómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development Lifecycle
 
Sandra collaguazo ca 9 6
Sandra collaguazo ca 9 6Sandra collaguazo ca 9 6
Sandra collaguazo ca 9 6
 
Administracion seguridad
Administracion seguridadAdministracion seguridad
Administracion seguridad
 
Dti auditoria de sistemas
Dti auditoria de sistemasDti auditoria de sistemas
Dti auditoria de sistemas
 
Adquisicion e implementacion
Adquisicion e implementacionAdquisicion e implementacion
Adquisicion e implementacion
 
Tema 9 comando kali linux (1)
Tema 9 comando kali linux (1)Tema 9 comando kali linux (1)
Tema 9 comando kali linux (1)
 
Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...
Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...
Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...
 
Dominio 8 grupo 11
Dominio 8 grupo 11Dominio 8 grupo 11
Dominio 8 grupo 11
 
Tema 3 proseso de desarrollo del software
Tema 3 proseso de desarrollo del softwareTema 3 proseso de desarrollo del software
Tema 3 proseso de desarrollo del software
 

Más de Roger CARHUATOCTO

[Webinar] Creando un "backend" con WSO2
[Webinar] Creando un "backend" con WSO2 [Webinar] Creando un "backend" con WSO2
[Webinar] Creando un "backend" con WSO2 Roger CARHUATOCTO
 
[Webinar] SOA ágil con WSO2
[Webinar] SOA ágil con WSO2[Webinar] SOA ágil con WSO2
[Webinar] SOA ágil con WSO2Roger CARHUATOCTO
 
[Webinar] Gestión Identidades y Control de Acceso en los Servicios usando WSO...
[Webinar] Gestión Identidades y Control de Acceso en los Servicios usando WSO...[Webinar] Gestión Identidades y Control de Acceso en los Servicios usando WSO...
[Webinar] Gestión Identidades y Control de Acceso en los Servicios usando WSO...Roger CARHUATOCTO
 
Comparativa de Suites BPM free open source (v1.0-20110721)
Comparativa de Suites BPM free open source (v1.0-20110721)Comparativa de Suites BPM free open source (v1.0-20110721)
Comparativa de Suites BPM free open source (v1.0-20110721)Roger CARHUATOCTO
 
Orquestando Procesos de Negocio de manera ágil con Bonita BPM (v1.0)
Orquestando Procesos de Negocio de manera ágil con Bonita BPM (v1.0)Orquestando Procesos de Negocio de manera ágil con Bonita BPM (v1.0)
Orquestando Procesos de Negocio de manera ágil con Bonita BPM (v1.0)Roger CARHUATOCTO
 
BizLife - Construyendo un Ecosistema Empresarial usando WSO2
BizLife - Construyendo un Ecosistema Empresarial usando WSO2BizLife - Construyendo un Ecosistema Empresarial usando WSO2
BizLife - Construyendo un Ecosistema Empresarial usando WSO2Roger CARHUATOCTO
 
Chakray.com - Enterprise Security and IAM with WSO2IS and Penrose
Chakray.com - Enterprise Security and IAM with WSO2IS and PenroseChakray.com - Enterprise Security and IAM with WSO2IS and Penrose
Chakray.com - Enterprise Security and IAM with WSO2IS and PenroseRoger CARHUATOCTO
 
Introducción a la gestión de contenidos web con Liferay Portal 6.1.x
Introducción a la gestión de contenidos web con Liferay Portal 6.1.xIntroducción a la gestión de contenidos web con Liferay Portal 6.1.x
Introducción a la gestión de contenidos web con Liferay Portal 6.1.xRoger CARHUATOCTO
 
WSO2Con 2013 - WSO2 as a Crypto Platform
WSO2Con 2013 - WSO2 as a Crypto PlatformWSO2Con 2013 - WSO2 as a Crypto Platform
WSO2Con 2013 - WSO2 as a Crypto PlatformRoger CARHUATOCTO
 
Drupal camp2010bcn cmis-drupal_alfresco-v1.1
Drupal camp2010bcn cmis-drupal_alfresco-v1.1Drupal camp2010bcn cmis-drupal_alfresco-v1.1
Drupal camp2010bcn cmis-drupal_alfresco-v1.1Roger CARHUATOCTO
 
Fast building Vertical Portals: e-Learning and Social Network
Fast building Vertical Portals: e-Learning and Social Network Fast building Vertical Portals: e-Learning and Social Network
Fast building Vertical Portals: e-Learning and Social Network Roger CARHUATOCTO
 
03 webinar content_deliveryplatform_v1.0-intix
03 webinar content_deliveryplatform_v1.0-intix03 webinar content_deliveryplatform_v1.0-intix
03 webinar content_deliveryplatform_v1.0-intixRoger CARHUATOCTO
 
01 webinar caso_migracion_portalweb_v1.4.1-intix
01 webinar caso_migracion_portalweb_v1.4.1-intix01 webinar caso_migracion_portalweb_v1.4.1-intix
01 webinar caso_migracion_portalweb_v1.4.1-intixRoger CARHUATOCTO
 
02 webinar gestion_expedientes_v0.6.1-intix
02 webinar gestion_expedientes_v0.6.1-intix02 webinar gestion_expedientes_v0.6.1-intix
02 webinar gestion_expedientes_v0.6.1-intixRoger CARHUATOCTO
 
Drupal Camp2010 Bcn Cmis Drupal Alfresco V1 1
Drupal Camp2010 Bcn Cmis Drupal Alfresco V1 1Drupal Camp2010 Bcn Cmis Drupal Alfresco V1 1
Drupal Camp2010 Bcn Cmis Drupal Alfresco V1 1Roger CARHUATOCTO
 
1st Peruvian It Security Workshop Flyer
1st Peruvian It Security Workshop Flyer1st Peruvian It Security Workshop Flyer
1st Peruvian It Security Workshop FlyerRoger CARHUATOCTO
 
Calidad y Seguridad en el SDLC V1 4
Calidad y Seguridad en el SDLC V1 4Calidad y Seguridad en el SDLC V1 4
Calidad y Seguridad en el SDLC V1 4Roger CARHUATOCTO
 
Intrusion Detection System V1.2
Intrusion Detection System V1.2Intrusion Detection System V1.2
Intrusion Detection System V1.2Roger CARHUATOCTO
 

Más de Roger CARHUATOCTO (20)

[Webinar] Creando un "backend" con WSO2
[Webinar] Creando un "backend" con WSO2 [Webinar] Creando un "backend" con WSO2
[Webinar] Creando un "backend" con WSO2
 
[Webinar] SOA ágil con WSO2
[Webinar] SOA ágil con WSO2[Webinar] SOA ágil con WSO2
[Webinar] SOA ágil con WSO2
 
[Webinar] Gestión Identidades y Control de Acceso en los Servicios usando WSO...
[Webinar] Gestión Identidades y Control de Acceso en los Servicios usando WSO...[Webinar] Gestión Identidades y Control de Acceso en los Servicios usando WSO...
[Webinar] Gestión Identidades y Control de Acceso en los Servicios usando WSO...
 
Comparativa de Suites BPM free open source (v1.0-20110721)
Comparativa de Suites BPM free open source (v1.0-20110721)Comparativa de Suites BPM free open source (v1.0-20110721)
Comparativa de Suites BPM free open source (v1.0-20110721)
 
Orquestando Procesos de Negocio de manera ágil con Bonita BPM (v1.0)
Orquestando Procesos de Negocio de manera ágil con Bonita BPM (v1.0)Orquestando Procesos de Negocio de manera ágil con Bonita BPM (v1.0)
Orquestando Procesos de Negocio de manera ágil con Bonita BPM (v1.0)
 
BizLife - Construyendo un Ecosistema Empresarial usando WSO2
BizLife - Construyendo un Ecosistema Empresarial usando WSO2BizLife - Construyendo un Ecosistema Empresarial usando WSO2
BizLife - Construyendo un Ecosistema Empresarial usando WSO2
 
Chakray.com - Enterprise Security and IAM with WSO2IS and Penrose
Chakray.com - Enterprise Security and IAM with WSO2IS and PenroseChakray.com - Enterprise Security and IAM with WSO2IS and Penrose
Chakray.com - Enterprise Security and IAM with WSO2IS and Penrose
 
Introducción a la gestión de contenidos web con Liferay Portal 6.1.x
Introducción a la gestión de contenidos web con Liferay Portal 6.1.xIntroducción a la gestión de contenidos web con Liferay Portal 6.1.x
Introducción a la gestión de contenidos web con Liferay Portal 6.1.x
 
WSO2Con 2013 - WSO2 as a Crypto Platform
WSO2Con 2013 - WSO2 as a Crypto PlatformWSO2Con 2013 - WSO2 as a Crypto Platform
WSO2Con 2013 - WSO2 as a Crypto Platform
 
Drupal camp2010bcn cmis-drupal_alfresco-v1.1
Drupal camp2010bcn cmis-drupal_alfresco-v1.1Drupal camp2010bcn cmis-drupal_alfresco-v1.1
Drupal camp2010bcn cmis-drupal_alfresco-v1.1
 
Fast building Vertical Portals: e-Learning and Social Network
Fast building Vertical Portals: e-Learning and Social Network Fast building Vertical Portals: e-Learning and Social Network
Fast building Vertical Portals: e-Learning and Social Network
 
03 webinar content_deliveryplatform_v1.0-intix
03 webinar content_deliveryplatform_v1.0-intix03 webinar content_deliveryplatform_v1.0-intix
03 webinar content_deliveryplatform_v1.0-intix
 
01 webinar caso_migracion_portalweb_v1.4.1-intix
01 webinar caso_migracion_portalweb_v1.4.1-intix01 webinar caso_migracion_portalweb_v1.4.1-intix
01 webinar caso_migracion_portalweb_v1.4.1-intix
 
02 webinar gestion_expedientes_v0.6.1-intix
02 webinar gestion_expedientes_v0.6.1-intix02 webinar gestion_expedientes_v0.6.1-intix
02 webinar gestion_expedientes_v0.6.1-intix
 
Drupal Camp2010 Bcn Cmis Drupal Alfresco V1 1
Drupal Camp2010 Bcn Cmis Drupal Alfresco V1 1Drupal Camp2010 Bcn Cmis Drupal Alfresco V1 1
Drupal Camp2010 Bcn Cmis Drupal Alfresco V1 1
 
1st Peruvian It Security Workshop Flyer
1st Peruvian It Security Workshop Flyer1st Peruvian It Security Workshop Flyer
1st Peruvian It Security Workshop Flyer
 
PKI Aplicada V1.3
PKI Aplicada V1.3PKI Aplicada V1.3
PKI Aplicada V1.3
 
Calidad y Seguridad en el SDLC V1 4
Calidad y Seguridad en el SDLC V1 4Calidad y Seguridad en el SDLC V1 4
Calidad y Seguridad en el SDLC V1 4
 
Intrusion Detection System V1.2
Intrusion Detection System V1.2Intrusion Detection System V1.2
Intrusion Detection System V1.2
 
Digital Forensics V1.4
Digital Forensics V1.4Digital Forensics V1.4
Digital Forensics V1.4
 

Último

Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersIván López Martín
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...AlanCedillo9
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...FacuMeza2
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 

Último (19)

Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 

QA and Security in Development Process

  • 1. Security in Offshore/Outsource Application Development Pg. de Gràcia, 85 2ª Barcelona T. 93 445 34 00 F. 93 487 69 87 Soldat Arrom Quart, 1 2ª mod 5 Palma de Mallorca T. 971 756 820 F. 971 757 274 Roger Carhuatocto www.in2.es roger.carhuatocto {{AT}} in2.es www.gos4i.org
  • 2. Proceso de Desarrollo de Software - Offshore/Outsource 1 2 3 4 5 6 Requerimientos Diseño Plan de Implementación Resultado Retroalimentación y casos de uso Pruebas y codificación de Pruebas y feedback Empresa Software Usuario Contratante Factory Final © IN2 - Confidencial 2
  • 3. Proceso de Desarrollo de Software con Calidad y Seguridad  Proceso clásico siguien pautas generales: › ISO9001:2000, CMM, Metodologías Ágiles, ....  Objetivo: › Detectar con antelación el error, en la etapa de diseño y no en producción › Ahorro del 60% de costes en actividades de Solución de un error cuando se detecta en la fase de Diseño.  Alcance: › Uso de metodologías clásicas de desarrollo pero con una adición de técnicas de testing y de aseguramiento de la calidad › El aseguramiento se extiendo a los largo del proceso › Soporte con herramientas al proceso de aseguramientos: • Gestión de Incidentes y/o Bugtracker • Herramientas automatizadas para identificar vulnerabilidades en código fuente, en funcionalidades • Herramientas para ejecutar pruebas de carga, etc. • Herramientas para probar la Seguridad • Sistema de Gestión de Pruebas © IN2 - Confidencial 3
  • 4. Proceso de Desarrollo de Software con Calidad y Seguridad Requerimientos de Revisión Análisis Estático Pruebas de Seguridad y Calidad Externa (Herramientas) Penetración Casos Análisis Pruebas de Seguridad Análisis Monitorización de abuso de Riesgo basadas en el Riesgo de Riesgo y Seguimiento 1 2 3 4 5 6 Requerimientos Diseño Plan de Implementación Resultado Retroalimentación y casos de uso Pruebas y codificación de Pruebas y feedback Selección de Herramientas Pruebas de Pruebas de Carga © IN2 - Confidencial 4
  • 5. 1. Las Técnicas: Misuse-Abuse Case y Security Use Case (1/2) © IN2 - Confidencial 5
  • 6. 1. Las Técnicas: Misuse-Abuse Case y Security Use Case (1/2)  Casos de Uso › Requerimiento funcional de usuario › Comportamiento normal de lo que será la aplicación  Misuse-Abuse Case › No son requerimientos › No es el comportamiento normal › Comportamient olvidado: • Comportamiento anormal • Comportamiento de seguridad • Etc...  Es importante hacer un análisis de amenazas! © IN2 - Confidencial 6
  • 7. 2. Análisis Estático de Código  Método para el análisis del código fuente o código objeto  Sirve para ganar conocimiento de lo que la Aplicación hará en producción. además sirve para establecer algún criterio de corrección en el código.  Técnicas › Black Box Testing › White Box Testing • Code Coverage › Profiling • De performance • De flujo • De memoria • Etc...  Métricas de Software © IN2 - Confidencial 7
  • 8. Herramientas Code Coverage/Profiling para JAVA y Free, Open Source  Jrat: Performance Profiling , http://jrat.sourceforge.net/ © IN2 - Confidencial 8
  • 9. Herramientas Code Coverage/Profiling para JAVA y Free, Open Source  Extensible Java Profiler › http://ejp.sourceforge.net  Basado JVM Profiler Interface (JVMPI)  http://java.sun.com/j2se/1.4.2/docs/guide/jvmpi © IN2 - Confidencial 9
  • 10. Herramientas Code Coverage/Profiling para JAVA y Free, Open Source  Cougaar Memory Profiler › http://profiler.cougaar.org  Jcoverage › Trabaja hasta nivel de byte-code › http://jcoverage.com  Cobertura › % de accesos a código desde los Test › Qué parte del código ha sido probado pocas veces © IN2 - Confidencial 10
  • 11. Conocimiento-Patrones comunes de Errores en el Código de App  (Kingdoms) Fortify Taxonomy of Software Security Errors: http://vulncat.fortifysoftware.com/  19 Deadly Sins of Sw Security: http://www.amazon.com/gp/product/0072260858/104-4300195-4358349  OWASP Top Ten Most Critical Web Application Security Vuln: http://www.owasp.org/documentation/topten.html © IN2 - Confidencial 11
  • 12. IN2, Compromiso con la Confianza Muchas Gracias © IN2 - Confidencial 12