No tienes acceso a esta clase

隆Contin煤a aprendiendo! 脷nete y comienza a potenciar tu carrera

C贸digo seguro

9/15
Recursos

El c贸digo seguro es una rama de la ciberseguridad que te interesar谩 much铆simo si eres desarrollador de software, porque podr谩s escribir c贸digo con buenas pr谩cticas para que sea mucho m谩s seguro.

Ciclo de vida del desarrollo de software

En todo el ciclo del desarrollo de software es importante que se tenga en cuenta la ciberseguridad. Porque est谩 a veces se puede encontrar en los peque帽os detalles. Como por ejemplo, cuando est谩s escribiendo una contrase帽a, esta debe estar oculta predeterminadamente. Entonces veamos las distintas etapas del desarrollo de software:

  • Requerimientos
  • Dise帽o
  • Desarrollo
  • Operaciones
  • Despliegue
  • Pruebas

OWASP

OWASP es una instituci贸n encargada de crear distintos tipos de reglas que se deben seguir a la hora de desarrollar software, con el fin de combatir el c贸digo inseguro.

septima_articlase(1).jpg

Para resumir, el c贸digo seguro es una parte del desarrollo de software muy importante que se debe ejecutar para combatir los huecos de seguridad en el c贸digo o lo zero-day exploits, que posteriormente bajar铆an la calidad y seguridad de nuestros proyectos.

Contribuci贸n creada con los aportes de: Danilo H

Aportes 74

Preguntas 4

Ordenar por:

驴Quieres ver m谩s aportes, preguntas y respuestas de la comunidad?

o inicia sesi贸n.

馃構 驴Qu茅 es la Fundaci贸n OWASP? (Open Web Application Security Project):

  • 馃枼锔 Es una fundaci贸n sin fines de lucro que trabaja para mejorar la seguridad del software.

  • 馃枼锔 La Fundaci贸n OWASP es la fuente para que los desarrolladores y tecn贸logos protejan la web. Herramientas y recursos Comunidad y redes Educaci贸n y formaci贸n.

  • 馃枼锔 Durante casi dos d茅cadas, corporaciones, fundaciones, desarrolladores y voluntarios han apoyado a la Fundaci贸n OWASP y su trabajo.

馃洝 La ciberseguridad debe estar presente en todas las fases del ciclo de vida del software.

Creo que la profesora genera una confusi贸n cuando se habla de Zeroday鈥 lo cual es una vulnerabilidad (sin parche) el exploit es lo que se programa posterior a la detecci贸n de dicha vulnerabilidad para explotarla鈥

Una vez desplegada nuestra aplicacion en un entorno real, es importante tener en cuenta los siguientes tres puntos:

  • Confidencialidad de los datos
  • Integridad de los datos
  • Disponibilidad de los datos

Aca pueden encontar el TOP 10 de los riesgos de las aplicaciones WEB segun OWASP:)
https://owasp.org/www-project-top-ten/

Ac谩 un excelente link para comenzar a aprender de c贸digo seguro chicos!

https://github.com/OWASP/wstg/tree/master/document

Interesante clase. Comparto dos enlaces donde se explica a profundidad la diferencia entre vulnerabilidades de d铆a cero y ataques de d铆a cero.
https://searchsecurity.techtarget.com/definition/zero-day-vulnerability
https://www.fireeye.com/current-threats/what-is-a-zero-day-exploit.html#:~:text=Zero-day exploit%3A an advanced,anyone realizes something is wrong.

Resumen de la clase:
C贸digo seguro

Ciclo de vida del desarrollo de software:

  • Requerimiento

  • Dise帽o

  • Desarrollo

  • Pruebas

  • Despliegue

  • Operaciones

驴En que parte entra la cyberseguridad?

En todas ellas, porque desde que estamos creando una aplicaci贸n estamos haciendo los requerimientos es importante que se tomen en cuenta los requisitos de seguridad, al momento de dise帽ar puede haber aspectos que pueden cambiar mucho las cosas (por ejemplo: las contrase帽as que pones siempre van ocultas) tambi茅n en el desarrollo es muy importante que los programadores conozcan de buenas pr谩cticas de seguridad por ejemplo si env铆as datos sensibles y los estas almacenando en alg煤n lugar esos datos siempre deben ir cifrados, seguido el desarrollo una vez que se termine y se est茅n haciendo pruebas lo 煤nico de lo que nos deber铆amos de asegurar es que se hallan tomado en cuenta los escenarios de ataque posibles y que los datos sean protegidos de manera segura.

Una vez que estamos desplegando nuestra aplicaci贸n en un entorno real es tambi茅n importante preocuparnos por tres puntos importantes:

  1. Confidencialidad.
  2. Integridad.
  3. Disponibilidad.

A este tri谩ngulo de ciberseguridad tambi茅n se le conoce como CIA:

  • Confidenciality
  • Integrity
  • Availability

Es importante una vez se halla lanzado la aplicaci贸n obtener FeedBack (Retroalimientaci贸n) de los usuarios para encontrar alguna vulnerabilidad que se nos pudo haber ido de las manos.

Un ejemplo de esto son los Zeroday, lo cual es una vulnerabilidad (sin parche), el exploit es lo que se programa posterior a la detecci贸n de dicha vulnerabilidad para explotarla.

OWASP es un proyecto de c贸digo abierto dedicado a determinar y combatir las causas que hacen que el software sea inseguro.

Encontr茅 este riesgo, y me pareci贸 muy importante de conocer. Ofrece una gu铆a muy directa para comenzar a establecer medidas para proteger los datos de una organizaci贸n.
Sensitive data exposure

Hola a todos. Les dejo mi aporte, el cual consegu铆 revisando la pagina de OWASP.

  1. OWASP Web Security Testing Guide: Guia para probar las aplicaciones y los servicios web. Su versi贸n actual es 4.2, pero se encuentran desarrollando la versi贸n 5.0

https://owasp.org/www-project-web-security-testing-guide/v42/

  1. Software Assurance Maturity Model: Marco abierto para ayudar a las organizaciones a formular e implementar una estrategia para la seguridad del software que se adapta a los riesgos espec铆ficos que enfrenta la organizaci贸n.

https://owaspsamm.org/model/

Les recomiendo este sitio https://www.cisecurity.org/

Los 10 mayores riesgos en ciberseguridad segun OWASP

Muy buenas referencias!

En este link pueden encontrar el marco de conocimiento de seguridad de OWASP
https://owasp.org/www-project-security-knowledge-framework/

https://owasp.org/Top10/A03_2021-Injection/ me gustan muchos estos temas de bases de datos y por eso quiero estudiar ciberseguridad para desarrollar bases de datos mas seguras.

El control de acceso roto, es una clara vulnerabilidad que ha tomado fuerza el a帽o 2021.

https://owasp.org/Top10/A01_2021-Broken_Access_Control/

https://owasp.org/www-project-web-security-testing-guide/

sOBRE TESING DE SEGURIDAD, YO VENGO DE AREA DE PRUEBS DE RENDIMIENTO.

Creo ahi es importante tomar consciencia al desarrollar software de las pruebas que se puedan hacer para mitigar en lo posible los ataques al codigo apegandose a las best practices

Recomiendo que se lean el libro de clean code, es un recurso super util que tambien nos ofrece para este mundo.

me pareci贸 muy interesante la forma en la que el programador tiene definido su estructura para que no se le olvide ingresar el algoritmo para modificar la visualizaci贸n de la contrase帽a en s铆mbolo de asterisco como el usuario final que por alguna raz贸n puede llegar a olvidarse de ocultar datos o contrase帽as importantes este algoritmo lo ayuda a proteger sus datos inconscientemente

Del Top 10 de OWASP me sorprende ver que el primer lugar lo ocupan las inyecciones SQL, por lo visto hay desarrolladores que no hacen uso de buenas pr谩cticas de programaci贸n y dise帽o web.
https://wiki.owasp.org/images/5/5e/OWASP-Top-10-2017-es.pdf

El est谩ndar que se deber铆a tener en cuenta a la hora de desarrollar es el MASVS que se encuentra aqu铆 (https://owasp.org/www-project-mobile-security-testing-guide/) y el cual contiene informaci贸n relevante que permitir谩 a cualquier desarrollador o arquitecto de software tomar mejores decisiones a la hora de elaborar proyectos.

===== Ciclo de Vida del Desarrollo de Software =====

   ---> Requerimientos -> Dise帽o -> Desarrollo -----
  |                                              				   |
  |                                              				   |
   <--- Operaciones <- Despliegue <- Pruebas <---

La ciberseguridad aplica y deber铆a estar presente en cada una de las fases del ciclo de vida del
desarrollo de software.
En la fase de desarrollo, los programadores deben conocer metodolog铆as de buenas practicas de seguridad
como las que se pueden encontrar en OWASP.

Tener en cuenta los siguientes proyecto de OWASP:

    * Security knowledge framework (framework de conocimientos de seguridad)
        Aprender a como desarrollar aplicaciones web seguras desde el principio

    * Web security testing guide (gu铆a de pruebas de seguridad web)
        Aprender a realizar pruebas de seguridad a las aplicaciones web

    * OWASP top ten 
        Los 10 riesgos de seguridad m谩s cr铆ticos en presentes en aplicaciones web

    * Juice shop
        Aplicaci贸n web insegura, compuesta de desaf铆os donde se puede practicar hacking web, 煤til para el
        aprendizaje en ciberseguridad, para demostraciones de lo que no se debe hacer. 

    * Zep attack proxy (ZAP)
        Es una herramienta gratuita de prueba de penetraci贸n, de c贸digo abierto, que corresponde a un proxy
        de interceptaci贸n, utilizado para interceptar, inspeccionar y modificar los mensajes enviados entre
        el navegador web y la aplicaci贸n web.

DIFERENCIA ENTRE ESTEGANOGRAF脥A Y CRIPTOGRAF脥A

  1. Esteganograf铆a : La
    esteganograf铆a es un m茅todo en el que se oculta un mensaje secreto en un medio de portada. La esteganograf铆a significa escritura cubierta. La esteganograf铆a es la idea de evitar informaci贸n secreta creando sospechas. La esteganograf铆a es menos popular que la criptograf铆a. En la esteganograf铆a, la estructura de los datos no suele alterarse.
    Las formas de esteganograf铆a son:

  2. Text

  3. Audio

  4. Video

  5. Images

  6. Network or Protocol

  7. Criptograf铆a :
    Criptograf铆a significa escritura secreta. En criptograf铆a, el remitente no env铆a el mensaje directamente al receptor, antes de enviar informaci贸n al receptor, la informaci贸n o el texto sin formato se convierte en texto cifrado mediante el uso de alg煤n algoritmo de cifrado, luego se env铆a al receptor y el receptor descifra el texto cifrado en texto sin formato para leer el informaci贸n original.
    Es de dos tipos:

  8. Symmetric key cryptography

  9. Asymmetric key cryptography

驴Cu谩les son las 10 principales vulnerabilidades de OWASP contra la seguridad de las API?
Open Web Application Security Project (OWASP) es una organizaci贸n sin 谩nimo de lucro cuyo objetivo es promover la seguridad de las aplicaciones web. El OWASP ofrece muchos recursos gratuitos a cualquiera que quiera desarrollar una aplicaci贸n web segura.

Uno de sus recursos m谩s referenciados es el OWASP Top 10, que enumera los 10 mayores problemas de seguridad de las aplicaciones web.

OWASP tambi茅n mantiene una lista separada y similar para interfaces de programaci贸n de aplicaciones (API), que son un bloque de desarrollo fundamental para la mayor铆a de las aplicaciones web. Esta lista es la OWASP API Security Top 10.

A partir de 2019*, el OWASP API Security Top 10 incluye:

Autorizaci贸n a nivel de objeto sin funci贸n: hace referencia a la manipulaci贸n de los identificadores de los objetos en una solicitud para obtener acceso no autorizado a datos confidenciales. Los atacantes acceden a objetos (datos) a los que no deber铆an tener acceso, con simplemente cambiar los identificadores.
Autenticaci贸n de usuario sin funci贸n: si la autenticaci贸n se implementa de forma incorrecta, los atacantes pueden ser capaces de suplantar a los usuarios de la API, lo que les permite acceder a datos confidenciales.
Exposici贸n excesiva de datos: muchas API exponen demasiado los datos y cuentan con que el usuario de la API los filtre adecuadamente. Esto podr铆a permitir que personas no autorizadas vean los datos.
Falta de recursos y limitaci贸n de velocidad: por defecto, muchas API no limitan el n煤mero o el tama帽o de las solicitudes que pueden recibir en un momento dado. Esto las deja expuestas a ataques de denegaci贸n de servicio (DoS).
Autorizaci贸n a nivel de funci贸n sin funci贸n: este riesgo tiene que ver con la autorizaci贸n. Los usuarios de la API pueden estar autorizados a hacer demasiadas cosas, lo cual puede provocar la exposici贸n de los datos.
Asignaci贸n masiva: la API aplica autom谩ticamente las entradas del usuario a m煤ltiples propiedades. Por ejemplo, un atacante podr铆a utilizar esta vulnerabilidad para declararse administrador mientras actualiza alguna otra propiedad inocua de su perfil de usuario.
Mala configuraci贸n de la seguridad: esto incluye una variedad de errores en la configuraci贸n de la API, incluyendo encabezados HTTP mal configurados, m茅todos HTTP innecesarios y lo que OWASP llama "mensajes de error ampulosos que contienen informaci贸n confidencial."
Inyecci贸n: en un ataque de inyecci贸n, el atacante env铆a comandos especializados a la API que la enga帽an para que revele datos o ejecute alguna otra acci贸n inesperada. M谩s informaci贸n sobre la inyecci贸n SQL.
Gesti贸n de activos inadecuada: esto se produce cuando no hay un seguimiento tanto de las API actuales y de producci贸n como de las que han quedado obsoletas, lo cual genera shadow API. Las API son vulnerables a este riesgo porque tienden a poner a disposici贸n muchos puntos de conexi贸n.
Registro y supervisi贸n insuficiente: OWASP se帽ala que los estudios muestran que se suele tardar m谩s de 200 d铆as en detectar una fuga. Un registro detallado de eventos y una estrecha supervisi贸n pueden permitir que los desarrolladores de API detecten y detengan las fugas mucho antes.

Es interesante ver que tiene presencia en mi pa铆s Ecuador y que cualquiera puede unirse para contribuir.

La aplicaci贸n de c贸digo seguro es una idea de la Ingenier铆a de Software que busca que un producto desarrollado contin煤e funcionando correctamente ante ataques maliciosos y puede ser vista como una medida de robustez de un sistema de software, respecto a una pol铆tica de seguridad. Es decir, que la ra铆z de muchos problemas de seguridad est谩 en que el software falla de forma inesperada.

Es importante no solo saber de OWASP, sino entenderlo.

Solo si conocemos el origen, podemos evitar que vuelva a suceder.

脡xitos

Verificar que, en el servidor, todas las copias almacenadas en cach茅 o temporales de datos sensibles est茅n protegidos de accesos no autorizados o son purgados/invalidados despu茅s del acceso por parte del usuario autorizado.

OWASP reglas basicas y super necesarias para todo desarrollo de una aplicacion

listado de los problemas de seguridad m谩s comunes en las aplicaciones web y ordenados de m谩s a menos cr铆ticos.

A1: Inyecci贸n
A2: P茅rdida de autenticaci贸n y gesti贸n de sesiones
A3: Datos sensibles accesibles
A4: Entidad externa de XML (XXE)
A5: Control de acceso inseguro
A6: Configuraci贸n de seguridad incorrecta
A7: Cross site scripting (XSS)
A8: Decodificaci贸n insegura
A9: Componentes con vulnerabilidades
A10: Insuficiente monitorizaci贸n y registro

驴Qu茅 es y para qu茅 sirve OWASP?
El Open Web Application Security Project (OWASP) est谩 dedicado a la b煤squeda y la lucha contra las vulnerabilidades en el software. La OWASP Foundation es una organizaci贸n sin 谩nimo de lucro que proporciona la infraestructura y apoya a este trabajo

隆Hice la tarea!

Aqu铆 les comparto el link de OWASP.

Software Assurance Maturity Model

https://owasp.org/www-project-samm/

Hay una serie de cosas que puede hacer para proteger sus datos cuando es programador y desarrolla un proyecto de software. Estas son algunas de las m谩s importantes:

Use contrase帽as fuertes y 煤nicas. Esto significa usar una contrase帽a diferente para cada cuenta y usar una combinaci贸n de letras, n煤meros y s铆mbolos.
Activaci贸n de la autenticaci贸n de dos factores (2FA). Esto agregar谩 una capa adicional de seguridad a sus cuentas al requerir que ingrese un c贸digo de una aplicaci贸n de autenticaci贸n adem谩s de su contrase帽a.
Utilice una VPN. Una VPN cifra su tr谩fico de Internet y lo dirige a trav茅s de un servidor en otro pa铆s. Esto puede ayudarlo a proteger su privacidad y seguridad en l铆nea.
Mantenga su software actualizado. Los desarrolladores lanzan regularmente actualizaciones de software que contienen parches para vulnerabilidades de seguridad. Es importante mantener su software actualizado para que est茅 protegido de las 煤ltimas amenazas.
Sea consciente de las estafas y los ataques de phishing. Los estafadores utilizan una variedad de m茅todos para enga帽ar a las personas para que revelen informaci贸n personal, como contrase帽as y n煤meros de tarjetas de cr茅dito. Sea consciente de las estafas y los ataques de phishing y evite hacer clic en enlaces en correos electr贸nicos o mensajes de texto no solicitados.
Realice copias de seguridad de sus datos regularmente. Esto le ayudar谩 a proteger sus datos en caso de que su computadora se vea comprometida o se pierda.
Siguiendo estos consejos, puede ayudar a proteger sus datos cuando es programador y desarrolla un proyecto de software.

Aqu铆 hay algunos consejos adicionales que pueden ser 煤tiles:

Utilice un sistema de control de versiones. Esto le ayudar谩 a rastrear los cambios en su c贸digo y hacer retroceder su c贸digo en caso de que cometa un error.
Use un entorno de desarrollo aislado. Esto le ayudar谩 a proteger su computadora de malware y otras amenazas.
Haga pruebas de penetraci贸n de su software. Esto le ayudar谩 a identificar vulnerabilidades en su software que pueden ser explotadas por los atacantes.
Educa a sus empleados sobre la seguridad cibern茅tica. Esto le ayudar谩 a crear conciencia sobre las amenazas a la seguridad cibern茅tica y c贸mo protegerse.
Al seguir estos consejos, puede ayudar a proteger su software y los datos de sus usuarios de las amenazas a la seguridad cibern茅tica.

驴Qu茅 es lo mas seguro con esto?

Las aplicaciones de IA est谩n en aumento y tambi茅n lo est谩n las preocupaciones con respecto a la seguridad y privacidad de la IA. 驴C贸mo se pueden atacar los sistemas de IA? 驴C贸mo se pueden proteger? Es por eso que OWASP ahora ofrece el Gu铆a de seguridad y privacidad de IA - para proporcionar informaci贸n clara y procesable sobre el dise帽o, la creaci贸n, las pruebas y la adquisici贸n de sistemas de IA seguros y que preservan la privacidad. Al abrir nuestra comprensi贸n del estado del arte, podemos crear consenso y recopilar ideas desde una variedad de perspectivas.

Project Spotlight: AI Security and Privacy Guide

AI applications are on the rise and so are the concerns regarding AI security and privacy. How can AI systems be attacked? How can they be protected? This is why OWASP is now offering the AI security & privacy guide - to provide clear and actionable insights on designing, creating, testing, and procuring secure and privacy-preserving AI systems. By open-sourcing our understanding of the state-of-the-art, we can create consensus and collect ideas from a variety of perspectives.

El OWASP Top 10 es un documento de concienciaci贸n est谩ndar para desarrolladores y seguridad de aplicaciones web. Representa un amplio consenso sobre los riesgos de seguridad m谩s cr铆ticos para las aplicaciones web, reconocido mundialmente por los desarrolladores como el primer paso hacia una codificaci贸n m谩s segura.
Fuente: https://www.es.consulting/es/seguridad-cibernetica/owasp-top-10

Buenas pr谩cticas de seguridad es justo y necesario. Debe reunirse todos los requisitos exigidos. Puntos primordiales en cualquier aplicaci贸n: Confidencialidad, Integridad y la Disponibilidad en los datos.

El Open Web Application Security Project 庐 (OWASP) es una fundaci贸n sin fines de lucro que trabaja para mejorar la seguridad del software. A trav茅s de proyectos de software de c贸digo abierto liderados por la comunidad, cientos de cap铆tulos locales en todo el mundo, decenas de miles de miembros y conferencias educativas y de capacitaci贸n l铆deres, la Fundaci贸n OWASP es la fuente para que los desarrolladores y tecn贸logos protejan la web.

Excelente clase.

OWASP es muy interestante. Reviso como parte del curso Preparacion para la certification en la Norma ISO 27001.

La gu铆a aborda todo el ciclo de vida de desarrollo seguro y lo divide en siete etapas, y brinda recomendaciones para cada una de ellas:

  1. Inicio del proyecto: una recomendaci贸n destacable de la gu铆a es tener como premisa que la aplicaci贸n desarrollada recibir谩 ataques peri贸dicamente y que algunos de ellos funcionar谩n. As铆, recomienda que el equipo de seguridad participe desde esta etapa.

  2. An谩lisis de los requerimientos: la gu铆a recomienda identificar aquellos elementos que se deban priorizar por su valor para la organizaci贸n. Adem谩s, establece recomendaciones respecto de los requerimientos de seguridad, requerimientos de privacidad y los requerimientos arbitrarios y sobre la necesidad de establecer prioridades entre ellos.

  3. Dise帽o del sistema: la gu铆a sugiere aplicar los siguientes principios de dise帽o seguro:
    鈥 minimizaci贸n de la superficie de ataque;
    鈥 dise帽o para ser mantenido;
    鈥 identificaci贸n del eslab贸n m谩s d茅bil;
    鈥 seguridad por defecto;
    鈥 mantenimiento de la usabilidad;
    鈥 autorizaci贸n para todo por defecto;
    鈥 m铆nimo privilegio;
    鈥 separaci贸n de responsabilidades y roles;
    鈥 defensa en profundidad;
    鈥 insuficiencia de los controles en el cliente;
    鈥 ayuda a los administradores;
    鈥 dise帽os sin secretos;
    鈥 modelado de amenazas.

  4. Implementaci贸n: en esta etapa, es necesario establecer un criterio de rango de erros y fallos, considerando su prioridad y la severidad del defecto que generan. Adem谩s, recomienda usar herramientas de control como Git, Subversion, Mercurial y CVS.

  5. Prueba: la gu铆a recomienda comenzar las pruebas de seguridad en paralelo con la etapa de desarrollo, y priorizar aquellos componentes que sean los m谩s cr铆ticos de la aplicaci贸n. Asimismo, recomienda realizar pruebas de penetraci贸n, de auditor铆as manuales de c贸digos y trae prevenciones para el caso en que las pruebas sean tercerizadas.

  6. Puesta en producci贸n: entre las recomendaciones para el despliegue de la aplicaci贸n se destacan la segregaci贸n de ambientes y el hardenizado de equipos.

  7. Mantenimiento: la gu铆a recomienda mantener los niveles de seguridad durante el funcionamiento de la aplicaci贸n y sugiere implementar un protocolo de back-up, monitorear peri贸dicamente la seguridad y alertas, ofrecer un canal para el reporte de fallos, errores y vulnerabilidades y considerar la privacidad de los datos almacenadas al momento de descartar la aplicaci贸n.

C贸digo seguro
Escribir c贸digo con buenas pr谩cticas para ser mucho m谩s seguro.
鈥淐iclo de vida del desarrollo de Software:鈥

  • Requerimientos: Requisitos de seguridad obligatorios.
  • Dise帽o: Ej: Ocultar las contrase帽as mientras la escribes.
  • Desarrollo: Buenas pr谩cticas de seguridad al programar (Al manipular o almacenar datos sencibles).
  • Pruebas: Revisar que se hayan tomado en cuenta los requisitos de seguridad en todos los ciclos anteriores. Prevenir posibles escenarios de ataque.
  • Despliegue: Confidencialidad, disponibilidad e integridad
  • Operaciones: Feedback de los usuarios por si hay alg煤n problema.

**OWASP : **Open Wep Application Security Project, se convirti贸 en el est谩ndar de ciberseguridad para detectar y corregir vulnerabilidades en el desarrollo de software y hardware. Contiene documentaci贸n, gu铆as, requisitos, etc., para aprender c贸digo seguro.

Me encanta, tiene tantas ramas la ciberseguridad

Super interesante, me encanta este tema, vamos por mas.

C贸digo de conducta

  • Desempe帽ar todas las actividades y deberes profesionales de conformidad con todas
    las leyes aplicables y los m谩s altos principios 茅ticos;

  • Promover la implementaci贸n y promover el cumplimiento de est谩ndares,
    procedimientos, controles para la seguridad de las aplicaciones;

  • Mantener la confidencialidad adecuada de la informaci贸n privada o confidencia
    que se encuentre en el curso de las actividades profesionales;

  • Desempe帽ar las responsabilidades profesionales con diligencia y honestidad;

  • Comunicarse abierta y honestamente;

  • Abstenerse de cualquier actividad que pueda constituir un conflicto de intereses o
    da帽ar la reputaci贸n de los empleadores, la profesi贸n de seguridad de la informaci贸n o
    la Fundaci贸n;

  • Mantener y afirmar nuestra objetividad e independencia;

  • Rechazar la presi贸n inapropiada de la industria u otros;

  • No da帽ar o impugnar intencionalmente la reputaci贸n o pr谩ctica profesional de colegas,
    clientes o empleadores;

  • Tratar a todos con respeto y dignidad;

  • No violar las marcas comerciales, derechos de autor o licencias de OWASP;

  • Proporcionar la atribuci贸n adecuada para evitar el plagio y la infracci贸n de derechos de autor, tanto dentro como fuera de OWASP;

  • Aseg煤rese de que el trabajo enviado a OWASP sea completamente suyo y no se copie, total o parcialmente, sin la debida atribuci贸n o permiso;

  • Cumplir con todas las disposiciones en los documentos, acuerdos y pol铆ticas organizacionales aplicables de la Fundaci贸n OWASP (i) que requieren el cumplimiento de las leyes de exportaci贸n aplicables, incluidas las reglas y regulaciones de control de exportaciones de los Estados Unidos; o (ii) exigir el cumplimiento de las leyes antimonopolio y de competencia aplicables, incluidas las normas y reglamentos antimonopolio de los Estados Unidos.

  • No participar en ning煤n discurso o acci贸n intimidatorio, acosador, discriminatorio, abusivo, despectivo o degradante (鈥渁coso鈥 incluye, pero no se limita a: Comunicaci贸n o conducta que una persona razonable en las circunstancias del individuo
    considerar铆a no deseada, intimidante, hostil, amenazante, violento, abusivo u ofensivo, dicha comunicaci贸n puede estar relacionada con el g茅nero, la identidad y expresi贸n de
    g茅nero, la orientaci贸n sexual, la discapacidad, el origen nacional, la raza, la edad, la religi贸n; tambi茅n incluye acechar, seguir, acosar fotograf铆as o grabaciones, interrupci贸n sostenida de charlas u otros eventos, contacto f铆sico inapropiado y atenci贸n sexual no deseada);

  • Evitar relaciones que perjudiquen, o parezcan perjudicar, la objetividad e independencia
    de la Fundaci贸n OWASP;

  • No participar en actividades ilegales o cometer violaciones de la ley aplicable, incluidas, entre otras, las leyes de los Estados Unidos y sus estados o la Uni贸n Europea, que (i) podr铆a resultar o realmente resultar en responsabilidad o da帽o a la Fundaci贸n OWASP; o (ii) est谩n relacionados con su participaci贸n en la Fundaci贸n OWASP, incluido el uso de materiales y publicaciones de la Fundaci贸n OWASP, actividades patrocinadas; o (iii) est谩n relacionados con su uso de software desarrollado en un proyecto patrocinado por la Fundaci贸n OWASP.

La TRIADA- CIA es super importante manejar el t茅rmino para que podamos aplicarlo en todo lo que es la ciberseguridad. Tanto para redes m谩s seguras o sistemas.

Recomiendo poner este curso en 1.25X

La secci贸n proyectos me parece contiene una variedad de proyectos muy interesantes con los que se puede comprobar la necesidad de implementar medidas de seguridad en diferentes tipos de proyectos.

OWASP

Feedback de usuarios

Despliegue y requerimientos

Desarrollo

Dise帽o

Requerimientos

Ciclo de vida del desarrollo de software

Relamente muy interesante, fascinado ando con el mundo de laciberseguridad. Realmente no entendemos completamente el alcance, solo hasta cuando comenzamos a involucrarnos en este fantastico mundo.

Documento: OWASP Top Ten: hace referecia a los riesgos m谩s comunes de seguridad en el 谩mbito digital y de la programaci贸n. Este tipo de gu铆a pone en conocimiento de los programadores los aspectos con mayores riesgos de seguridad que deben fortalecer durante la elaboraci贸n de sus programas y aplicaciones.

https://cheatsheetseries.owasp.org/
cuenta con una guia rapida de diversos temas

Resumen en Notion
https://n9.cl/wq8x8

Chale, ya no est谩n los cursos de OWASP

si la ciberseguridad ahora esta muy presente en la vida mas que ahora la tecnolog铆a avanzado mucho tan en servidores como telefono y red web.

Con la herramienta SONAR se pueden llevar a cabo pruebas del nuestro c贸digo.

C贸digo seguro

  • requerimiento
  • dise帽o
  • desarrollo
  • operaciones
  • despliegue
  • pruebas

La comunidad OWASP est谩 formada por empresas, organizaciones educativas y particulares de todo mundo. Juntos constituyen una comunidad de seguridad inform谩tica que trabaja para crear art铆culos, metodolog铆as, documentaci贸n, herramientas y tecnolog铆as que se liberan y pueden ser usadas gratuitamente por cualquiera.

El proyecto Top 10, de OWASP da a las empresas informaci贸n sobre posibles ataques a la infraestructura web, donde muestra situaciones mas utilizadas para que las organizaciones puedan hacer un despliegue de seguridad ante estos futuros ataques.

Tambi茅n brindan la opci贸n a las empresas de mostrar su top 10 de posibles casos, ya que todas pueden tener ataques diferentes y ser vulnerables en diferentes formas.

El curso de OWASP ya lo tienen fuera

Documentaci贸n importante OWASP Top 10 para webapps, serverless, mobile, API, adicionalmente cheatsheetseries

SQL Injection
Creo que es el ataque m谩s com煤n que se puede hacer y al que tenemos que estar muy atentos, sobre todo si vamos a manejar el backend de una aplicaci贸n.

La calidad se emplea en todo el ciclo de desarrollo del software o deber铆a aplicarse.

Saludos.

Buena explicaci贸n