Metodologías para desarrollar software seguro

 Metodologías para desarrollar software seguro



Correctness by Construction (CbyC)

Es un metodo que tiene efectividad cuando se desarrolla un software que demanda un nivel de seguridad critico, sus metas principales son obtener una taza de defectos al minimo  y un alta resilencia al cambio, se logran debido a dos principios fundamentales( dificil introducir errores y asegurandose que los errores sean removidos cuando se inyectan , esta metodologia busca producir un producto correcto desde su inicio basandose en requerimientos rigurosos de seguridad.

sus fases son: 

Fase de requerimientos:  Requerimientos funcionales y no funcionales del usuario con sus repetivos diagramas contextuales, de clases y Definiciones operativas.    

Fase de Diseño de Alto Nivel: Descripcion de la estructura interna del sistema (distribucion de la funcionalidad, estructuracion de bases de datos, mecanismos para las transacciones y comunicaciones).

Fase de Especificacion del Software: Documentacion de las especificaciones de la interfaz de usuario.

Fase de Diseño Detallado: Definicion de los modulos, procesos y la funcionalidad de cada uno de estos.

Fase de especificacion de los Modulos: Definicion del comportacmiento de cada modulo deben tener enfoques de bajo acoplamiento y alta cohesion.

Fase Codificacion:  Aqui se evita la ambiguedad posible tambien para el codigo suguiriendo utilizar SPARK y se conducen pruebas de analisis estatico para eliminar errores. 

Fase de especificaciones de las Pruebas:  Se toma en cuenta las especificaciones del software, los requerimientos y el Diseño de alto nivel  para efectuar  pruebas de valores limites, de comportamiento y para los requerimientos no funcionales.

Fase de Construccion del Software: Se utiliza el desarrollo de tipo Agil en su primera entrega  con todas sus interfaces y mecanismos de comunicacion, con funcionalidad limitada que se va incrementando en cada iteracion del ciclo.


Security Development Lifecycle (SDL)

Proceso para mejorar la seguridad del sotware propuesto por microsoft en el cual se enfocan dieciseis actividades proponiendo  practicas desde una etapa de entrenamiento de temas de seguridad luego pasa por su analisis estatico, dinamico, testing de codigo hasta que se tiene respuesta a incidentes se caracteriza por encontrar codigo vulnerables a ataques para los desarrolladores 

Sus fases son: 

Fase de entrenamiento:  los miembros del equipo reciben una formacion apropiada del ambito de seguridad y privacidad, asistiendo como minimo una vez al año a una clase de formacion en materia de la seguridad.

Fase de Requerimientos: Un consultor de seguridad  asiste al equipo de produccion para revisar  los planes y hacer recomendaciones para que se cumplan las metas de seguridad del proyecto.

Fase de Diseño: Se define una arquitectura segura y guias de diseño que identifican componentes criticos para la seguridad donde un proceso del modelado identifica las amenazas que potencialmente podrian causar daño a algun activo estableciendo la probabilidad de ocurrencia y tomando medidas para mitigar su riesgo.

Fase de Implementacion: Aqui se codifica, prueba e integra el software. 

Fase de Verificacion: Aqui el software ya es funcional se revisa mas exhaustiva el codigo y se ejecuta pruebas en donde se identifica parte de la superficie de ataques.

Fase de Lanzamiento: Se le da un revision final al software en un periodo de dos a seis meses para conocer el nivel de seguridad del producto.

Fase de Respuesta:Se debe estar preparado para responder a incidentes de seguridad de errores cometidos en el software para evitarlso en proyectos futuros. 

  

Comentarios

Publicar un comentario

Entradas populares de este blog

Metodologias para Analisis de Riesgo

Imagen
 Metodologias para Analisis de Riesgo  MAGERIT Version 3 Objetivos: Identificar los activos que componen el sistema, determinando sus caracteristicas, atributos y clasificacion en los tipos determinados.  Metodo de analisis  MAR.1 - Caracterizacion de los activos MAR.11- Identificacion de los activos  MAR.12- Dependencia entre activos MAR.13- Valoracion de los activos MAR.2-Caracterizacion de las amenazas MAR.21-Identificacion de las amenazas  MAR.22-Valoracion de las amenazas MAR.3-Caracterizacion de las salvaguardas  MAR.31-Identificacion de las salvaguardas pertinentes  MAR.32-Valoracion de las salvaguardas  MAR.4-Estimacion del estado de riesgo MAR.41-Estimacion del impacto MAR.42 -Estimacion del riesgo UNE-ISO 28000 Especificacion para los sistemas de gestion de la seguridad para la cadena de suministro  ESCENARIOS DE RIESGO   Descripcion del efecto de un conjunto determinado de amenazas sobre un determinado conjunto de activo...
Leer más

UNIDAD 1 - Preguntas sobre la idea de investigación

Imagen
Preguntas sobre la idea de investigación Formule y responda 5 preguntas referentes al contenido del video L a Idea de Investigación SOLUCION ¿Cuáles son los seis pasos que se deben considerar para plantear la Idea de Investigación? R/: Debe ser una idea que motive personalmente y vaya acorde a las capacidades que uno tenga. Esta Idea de Investigación debe ser relevante y que pueda tener aporte a la sociedad. Su temática debe estar relacionada con el perfil personal que uno disponga. Se debe realizar una consulta académica acerca de temas relacionados con la Idea de Investigación que escogió. Se investiga con profundidad temas referentes a la Idea de Investigación y se delimita el tema que se va a realizar Se procede a redactar adecuadamente el título de Investigación. ¿Qué es Solución o Aporte Relevante? R/: Solución o Aporte relevante es un término que proporciona mejoras o soluciones a una entidad privada o pública por medio de la tecnología, de los diagnósticos, de la conducta ...
Leer más

UNIDAD 1 - Resumen conceptos básicos de investigación

Imagen
CONCEPTOS BASICOS DE INVESTIGACION La  metodologia de la investigacion es un pensamiento magico, mitico, religioso o cientifico para la explicacion del mundo y los fenomenos que se presentan. Existen distintos tipos de pensamientos: Pensamiento Magico Pensameinto Mitico  Pensamiento Religioso Pensamiento Cientifico  Pensameinto Critico Pensamiento Complejo Pensameinto Estrategico  Pensamiento Prospectivo  Los pensamientos Magicos, Mitico y Religioso son explicaciones creadas por el hombre  atravez de mitos y practicas magicas acerca de los fenomenos naturales. Sus culturas son monoteistas, el pensamiento religioso explica la realidad  y no permite otras explicaciones porque es monopolizado por la iglesia. El pensamiento Filosofico , reflexionan sobre los origenes, la posibilidad y la esencia del conocimiento. El Pensamiento cientifico , es el conocimiento que tenemos de hechos particulares o cientifico donde se tiene una relacion entre el sujeto que ...
Leer más