27 may 2014

Ciclos de Vida del Software Seguros (S-SDLC) (Parte III)

Retomamos los ciclos de vida seguros del software. El cuarto S-SDLC que veremos y tratamos en esta cadena es el de Writing Secure Code.

En la siguiente imagen se puede visualizar como este modelo se divide en etapas, de las cuales tiene 13, y durante las distintas fases se van realizando etapas para conseguir que la aplicación sea segura. En la etapa inicial se habla de educación al desarrollador en términos de seguridad, esto se realiza justo antes de comenzar las actividades de diseño de la aplicación. Durante esta fase de diseño también se cumplen las etapas de cuestiones relevantes a la seguridad y la realización del modelado de amenazas.

Una vez finalizada la fase de diseño se realiza una revisión del equipo de seguridad del diseño de la aplicación. En la fase de implementación se crean documentos de seguridad, se preparan herramientas y se estudia las guías de buenas prácticas y codificación segura. En la fase de pruebas se utilizan las políticas de prueba seguras, se revisan los fallos encontrados en el proceso hasta el momento y se realiza una revisión externa de la aplicación. En la fase de mantenimiento se realiza una planificación de seguridad que indica como la empresa debe responder.

El siguiente S-SDLC denominado TSP-Secure no tiene mucha difusión, y no se conoce mucho de ello. TSP extiende lo que plantea el TSP, Team Software Process, con el objetivo de conseguir un desarrollo de aplicaciones seguras mediante la intervención en el proceso de la guía ofrecida por CERT. Otro objetivo del TSP-Secure es el de conseguir que las organizaciones puedan mejorar su manera de construir software seguro o de calidad, y que éste sea compatible con el CMMI. 

Los objetivos de TSP-Secure son, básicamente tres, ser capaces de detectar los fallos de seguridad en la generación de código (esto es aplicable al resto de S-SDLC estudiados en la asignatura), ser capaces de responder rápidamente ante la inserción de nuevas amenazas en el código y promover la utilización de prácticas de seguridad para el desarrollo.

El flujo que cumple es el siguiente:

TSP-Secure necesita que se seleccione alguna (o más de una) norma de codificación segura durante la fase de requisitos. Miembros del equipo aplican pruebas de conformidad, en temas de seguridad de la aplicación, como parte del propio proceso de desarrollo, esto se va realizando en cada fase del SDLC, con el fin de verificar que el código es seguro.

El TSP-Secure dispone de planificación, procesamiento, calidad, medición y seguimiento de los marcos de TSP. Esto hace que el desarrollo de aplicaciones seguras se genere satisfaciendo un nivel 3 de madurez en CMMI. 

No hay comentarios:

Publicar un comentario