En uno de los primeros posts que escribi se citaba los 10 mandamientos del desarrollo seguro.
Hoy en dia tanto los problemas de XSS como los de Sql Injection son los mas extendidos dentro de las aplicaciones web, los primeros PoC tienen varias años ya.
Hablando con amigos programadores, ellos argumentan que el problema son los tiempos sobre la calidad y que muchas veces se les pide cantidad sobre calidad.
Un ejemplo de lo que hablo ocurrió con una encuesta realizada en el Times, la cual fue manipulada fácilmente para mostrar en lo mas alto de la lista a una persona en particular y además formar una frase con la primer letra de cada una de las otras personas que formaban el top ten.
No estamos hablando del periódico barrial, Times es uno de los medios mas grandes del mundo.
Yo pienso que el problema no es solo del desarrollo del código, mas bien esta en no contar con una metodología de desarrollo segura. La seguridad del código comienza con los requerimientos y termina cuando el programa deja de utilizarse.
Creo que comente en posts anteriores sobre los RedBooks de IBM, esta semana publicaron un paper que habla sobre "Improving your Web Application Software Development Life Cycle’s Security Posture with IBM Rational AppScan"
Si bien es una propaganda hacia sus productos, muestra las principales vulnerabilidades que existen hoy en dia en las aplicaciones web y como un ciclo de desarrollo seguro ayuda a mitigar estos problemas.
El documento comienza dando una introducción a los perfiles y motivaciones de las personas que van tras las vulnerabilidades de los sitios webs. Luego hace un repaso de los problemas habituales en las aplicaciones, dando un par de ejemplos sobre XSS y Sql Injection .
Es interesante la seccion donde habla de Securing the software development life cycle, alli explica como las tres areas del ciclo de desarrollo ( Diseño, Desarrollo, Delivery ) deben ser aplicadas con la seguridad como guia. En casi todas las charlas de seguridad de aplicaciones se habla de Seguridad por diseño y los costos de un bug en las diferentes etapas de los ciclos mencionados.
A mayor tiempo en descubrir el bug o el problema de diseño, mayor el costo.
Luego da una breve explicación sobre los tres tipos de análisis de seguridad de una aplicación :
White Box, Black Box y Gray Box.
Por ultimo y antes de vendernos los productos de IBM nos indica dos Best Practices :
Definir en forma clara los requerimientos de seguridad.
Aquí habla de lo que comente al principio, los mandamientos del desarrollo seguro.
Tratar de automatizar las pruebas de los requerimientos anteriores.
Luego de mostrarnos como IBM ayuda con sus herramientas al ciclo de desarrollo seguro, da un Bussines Case como ejemplo.
El documento es corto, son 40 paginas pero es útil para aquellos que quieren conocer un poco de que trata esto del ciclo de desarrollo seguro y las consecuencias de no contar con una metodología.
IBM RedBooks
No comments:
Post a Comment