ClubEnsayos.com - Ensayos de Calidad, Tareas y Monografias
Buscar

Ciclo de vida de desarrollo de seguridad y seguridad de aplicaciones web


Enviado por   •  10 de Julio de 2019  •  Apuntes  •  8.460 Palabras (34 Páginas)  •  205 Visitas

Página 1 de 34

Ciclo de vida de desarrollo de seguridad y seguridad de aplicaciones web

(Security Development Lifecycle & Web Application Security) (Diapositiva 1)

El taller de Principios de diseño seguro presenta la función que cumple el ciclo de vida del desarrollo de la seguridad de Microsoft (SDL) en el diseño de aplicaciones de confianza y proporciona una descripción general de los principios de diseño seguro empleados en la SDL, que incluyen:

reducción de la superficie de ataque; privacidad básica; modelado de amenazas; defensa en profundidad; privilegios mínimos; y valores predeterminados de seguridad.

Abordar este tema permitirá a nuestra organización mejorar nuestras prácticas de desarrollo de aplicaciones y la seguridad de nuestras aplicaciones

El objetivo de este curso es proporcionar una descripción general del proceso SDL de Microsoft y sus fases. Le proporcionará información valiosa sobre herramientas y técnicas útiles que lo ayudarán a crear un software más seguro.

En este curso, nosotros:

Mire el ciclo de vida del desarrollo de seguridad de Microsoft (SDL)

Revise brevemente algunos conceptos de diseño, desarrollo y prueba seguros

Explore los problemas de seguridad que surgen si estos principios de diseño, codificación y prueba no se aplican correctamente

Esto le proporcionará información que puede utilizar para hacer que su software sea más seguro.

Nota: Este curso está destinado a familiarizarse con los principios y principios de diseño de seguridad.

Road Map - Mapa vial (Diapositiva 2)

Introducción: Amenazas de seguridad y conceptos del ciclo de vida del desarrollo de la seguridad (SDL)

Principios de diseño seguro

Principios de modelado de amenazas de SDL

Principios de implementación segura

Principios de verificación de seguridad

SDL en Application Lifecycle Management (ALM) con servicios de DevOps de Azure

Los 10 principales riesgos de seguridad de aplicaciones web de OWASP

¿Qué es SDL? What’s SDL? (Diapositiva 3)

El ciclo de vida del desarrollo de la seguridad (SDL, por sus siglas en inglés) es un proceso de desarrollo de software que ayuda a los desarrolladores a crear un software más seguro y cumplir con los requisitos de cumplimiento de seguridad, al tiempo que reduce los costos.

https://www.microsoft.com/en-us/sdl - aquí es donde se define la definición anterior.

El ciclo de vida del desarrollo de la seguridad (SDL) es un proceso de garantía de seguridad que se centra en el desarrollo de software. Como una iniciativa de la empresa y una política obligatoria desde 2004, la SDL ha desempeñado un papel fundamental en la integración de la seguridad y la privacidad en el software y la cultura de Microsoft. Combinando un enfoque holístico y práctico, el objetivo de SDL es reducir la cantidad y la gravedad de las vulnerabilidades en el software. El SDL introduce seguridad y privacidad en todas las fases del proceso de desarrollo.

Microsoft SDL se basa en tres conceptos básicos: educación, mejora continua de procesos y responsabilidad. La educación y capacitación continua de los roles de trabajo técnico dentro de un grupo de desarrollo de software es crítica. La inversión adecuada en la transferencia de conocimiento ayuda a las organizaciones a reaccionar adecuadamente a los cambios en la tecnología y el panorama de amenazas. Debido a que el riesgo de seguridad no es estático, el SDL pone un gran énfasis en comprender la causa y el efecto de las vulnerabilidades de seguridad y requiere una evaluación regular de los procesos de SDL y la introducción de cambios en respuesta a los nuevos avances tecnológicos o nuevas amenazas. Los datos se recopilan para evaluar la efectividad de la capacitación, las métricas en proceso se utilizan para confirmar el cumplimiento del proceso y las métricas posteriores al lanzamiento ayudan a guiar los cambios futuros. Finalmente, el SDL requiere el archivo de todos los datos necesarios para dar servicio a una aplicación en una crisis. Cuando se combina con una respuesta de seguridad detallada y planes de comunicación, una organización puede brindar una orientación concisa y convincente a todas las partes afectadas.

Participantes y roles en el proceso de SDL (Diapositiva 4)


Gerentes / Gerencia Soporta la implementación de SDL dentro de la organización. Institutos requisitos de cumplimiento para la formación. Apoya los esfuerzos de entrenamiento de SDL Equipo de desarrollo (PM, Dev, Test) Desarrolla productos con las mejores prácticas de seguridad utilizando el conocimiento obtenido de la capacitación de SDL. Asesor de seguridad Actúa como enlace entre los equipos de desarrollo y seguridad. Revisa los artefactos generados durante el proceso de lanzamiento de SDL Proporciona experiencia / orientación sobre la mitigación de problemas de seguridad descubiertos cuando sea necesario Realiza la revisión final de seguridad del producto antes del lanzamiento.

(Diapositiva 5)

[pic 1]

Gol:

Reduce el número de vulnerabilidades en tu código

Reduzca la severidad de las vulnerabilidades que echa de menos.

El proceso de Microsoft SDL

El SDL es un proceso de garantía de seguridad de desarrollo de software que consiste en prácticas de seguridad agrupadas por siete fases del ciclo de vida tradicional del desarrollo de software. Las experiencias en Microsoft han demostrado que las prácticas de seguridad ejecutadas en orden cronológico ayudaron a obtener mayores ganancias de seguridad y beneficios de costos que a partir de la implementación ad hoc. El proceso SDL no es específico de Microsoft ni de la plataforma Windows y puede aplicarse a diferentes sistemas operativos, plataformas, metodologías de desarrollo y proyectos de cualquier tamaño.

Pre-SDL Requisitos: Entrenamiento seguridad (Diapositiva 6)

Evaluar el conocimiento de la organización sobre seguridad y privacidad y establecer un programa de capacitación según sea necesario

Establecer criterios de formación.

Contenido que cubre diseño, desarrollo, prueba y privacidad seguros.

Establecer frecuencia mínima de entrenamiento.

Los empleados deben asistir a n clases por año.

Establecer umbrales mínimos aceptables de entrenamiento en grupo.

Objetivos de capacitación organizativa (por ejemplo, el 80% de todo el personal técnico capacitado antes del producto RTM)

...

Descargar como (para miembros actualizados) txt (58 Kb) pdf (491 Kb) docx (2 Mb)
Leer 33 páginas más »
Disponible sólo en Clubensayos.com