Professional Documents
Culture Documents
Actividades
Los ciclos de vida de desarrollo seguro (S-SCLD) son sistemas utilizados en el mundo
del desarrollo para crear aplicaciones de diversos tipos de aplicaciones, desde su
comienzo en el diseño hasta su publicación.
De este modo, el ciclo de vida de desarrollo de sistemas (SDLC), es aquel proceso cuya
misión es la creación o modificación de modelos, metodologías y sistemas que los
usuarios utilizan para desarrollar dichos sistemas de software. Así cada una de las
metodologías dentro de la ingeniería del software constituyen el marco para la
planificación y el debido control de la información en el proceso de desarrollo software.
El SDLC fue creado una vez que se llego a la conclusión de que la mayoría d las
vulnerabilidades podían ser solucionadas en la fase de desarrollo de los procesos
involucrados con el desarrollo de aplicaciones teniendo en cuenta que varias
vulnerabilidades eran errores en el desarrollo de las mismas. Por tanto, gracias al SDLC
se pueden desarrollar software de calidad mediante taras básicas.
S-SDLC-OWASP CLASP
Se trata de un modelo prescriptivo cuya base se centra en roles y buenas prácticas, así
permite a los diferentes equipos de desarrollo la implementación de la seguridad en las
diferentes fases del Ciclo de vida de Desarrollo mediante una metodología estructurada,
medible y repetible.
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Palafox Pascual
Seguridad en el
29/03/18
Software
Nombre: Lorena
La metodología STRIDE se basa en la identificación de amenazas y es aplicada en los
diferentes objetos establecidos en el diagrama de flujo de datos para especificar el tipo
de amenaza a la que se encuentra expuesto. Por otro lado DREAD, permite puntuar la
probabilidad de materialización de una amenaza de este modo ayuda a la priorización
de contramedidas para la mitigación de las diferentes amenazas.
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Palafox Pascual
Seguridad en el
29/03/18
Software
Nombre: Lorena
McGraw´s
Este sistema propone las siguientes tareas para realizar la protección anteponiendo
unas necesidades a otras según el siguiente orden aquí expuesto:
- Code rewiev: Análisis de código mediante conocimientos de seguirdad y buenas
prácticas
- Análisis de riesgo: A realizar en la fase de requisitos, análisis, diseño y testing.
- Pentesting: Para el análisis de comportamientos anómalos en la fase de testing.
- Test caja negra.
- Fuzzing: Comportamiento de los inputs.
- Análisis externo: (no obligatorio).
Finalmente, son realizadas pruebas mediante las políticas de prueba seguras, revisión
de fallos y revisión externa de la aplicación hasta finalizar con el mantenimiento
realizado con una planificación de seguridad con normativa a cerca de cómo debe
responder la empresa.
TSP-Secure
El presente SDLC no tiene mucha difusión, su objetivo principal es desarrollar
aplicaciones seguras por medio de la intervención en los procesos de la guía ofrecida
por CERT, además de conseguir que las organizaciones mejoren su construcción de
software seguro y de calidad y la compatibilidad con CMMI.
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Palafox Pascual
Seguridad en el
29/03/18
Software
Nombre: Lorena
De este modo, los principales objetivos marcados por TSP-Secure son la capacidad de
detección de fallos de seguridad en la generación de código, la capacidad de respuesta
ante nueva amenazas en el código y promover la utilización de seguridad para el
desarrollo.
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Palafox Pascual
Seguridad en el
29/03/18
Software
Nombre: Lorena
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Palafox Pascual
Seguridad en el
29/03/18
Software
Nombre: Lorena
- Diseño
El analista diseña procedimientos para captura de datos, archivos o bases de datos para
almacenar datos de tomas de decisiones de la organización, así como controles y
procedimientos de respaldo.
- Documentación y desarrollo
Analistas y programadores trabajan de forma conjunta para diseñar y documentar el
software..
- Pruebas y mantenimiento
En primer lugar mediante muestreos para determinar los problemas con precisión y en
segundo lugar con datos reales del sistema. El mantenimiento del sistema será
comenzado en esta fase y se llevará a cabo de manera rutinaria durante toda su vida
útil.
- Formación y evaluación.
Capacitación a los usuarios y la evaluación se llevará a cabo teniendo en cuenta a los
usuarios a quienes va dirigido teniendo en cuenta su utilización o no del mismo.
Conclusiones.
Como conclusión en relación al estudio realizado en base a los SDLC cabe decir que se
debería pensar estratégicamente y no tácticamente, es decir, el modelo “parche y
penetración” realiza una corrección de un error informado, pero sin la debida
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Palafox Pascual
Seguridad en el
29/03/18
Software
Nombre: Lorena
Por último, se debe tener en cuenta que existe una gama de herramientas comerciales y
de código abierto que son capaces de automatizar muchas de las tarea de seguridad
rutinaria de los diferentes negocios. Dichas herramientas cuentan con la capacidad de
simplificación y aceleración de procesos de seguridad, sin embargo se debe tener claro
los conceptos y características de las mismas, en relación a que tareas pueden ejecutar y
cuales no
TEMA 1 – Actividades