No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

Código seguro

9/15
Recursos

El código seguro es una rama de la ciberseguridad que te interesará muchísimo si eres desarrollador de software, porque podrás escribir código con buenas prácticas para que sea mucho más seguro.

Ciclo de vida del desarrollo de software

En todo el ciclo del desarrollo de software es importante que se tenga en cuenta la ciberseguridad. Porque está a veces se puede encontrar en los pequeños detalles. Como por ejemplo, cuando estás escribiendo una contraseña, esta debe estar oculta predeterminadamente. Entonces veamos las distintas etapas del desarrollo de software:

  • Requerimientos
  • Diseño
  • Desarrollo
  • Operaciones
  • Despliegue
  • Pruebas

OWASP

OWASP es una institución encargada de crear distintos tipos de reglas que se deben seguir a la hora de desarrollar software, con el fin de combatir el código inseguro.

septima_articlase(1).jpg

Para resumir, el código seguro es una parte del desarrollo de software muy importante que se debe ejecutar para combatir los huecos de seguridad en el código o lo zero-day exploits, que posteriormente bajarían la calidad y seguridad de nuestros proyectos.

Contribución creada con los aportes de: Danilo H

Aportes 84

Preguntas 4

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

😋 ¿Qué es la Fundación OWASP? (Open Web Application Security Project):

  • 🖥️ Es una fundación sin fines de lucro que trabaja para mejorar la seguridad del software.

  • 🖥️ La Fundación OWASP es la fuente para que los desarrolladores y tecnólogos protejan la web. Herramientas y recursos Comunidad y redes Educación y formación.

  • 🖥️ Durante casi dos décadas, corporaciones, fundaciones, desarrolladores y voluntarios han apoyado a la Fundación OWASP y su trabajo.

🛡 La ciberseguridad debe estar presente en todas las fases del ciclo de vida del software.

Creo que la profesora genera una confusión cuando se habla de Zeroday… lo cual es una vulnerabilidad (sin parche) el exploit es lo que se programa posterior a la detección de dicha vulnerabilidad para explotarla…

Una vez desplegada nuestra aplicacion en un entorno real, es importante tener en cuenta los siguientes tres puntos:

  • Confidencialidad de los datos
  • Integridad de los datos
  • Disponibilidad de los datos

Aca pueden encontar el TOP 10 de los riesgos de las aplicaciones WEB segun OWASP:)
https://owasp.org/www-project-top-ten/

Acá un excelente link para comenzar a aprender de código seguro chicos!

https://github.com/OWASP/wstg/tree/master/document

Interesante clase. Comparto dos enlaces donde se explica a profundidad la diferencia entre vulnerabilidades de día cero y ataques de día cero.
https://searchsecurity.techtarget.com/definition/zero-day-vulnerability
https://www.fireeye.com/current-threats/what-is-a-zero-day-exploit.html#:~:text=Zero-day exploit%3A an advanced,anyone realizes something is wrong.

Resumen de la clase:
Código seguro

Ciclo de vida del desarrollo de software:

  • Requerimiento

  • Diseño

  • Desarrollo

  • Pruebas

  • Despliegue

  • Operaciones

¿En que parte entra la cyberseguridad?

En todas ellas, porque desde que estamos creando una aplicación estamos haciendo los requerimientos es importante que se tomen en cuenta los requisitos de seguridad, al momento de diseñar puede haber aspectos que pueden cambiar mucho las cosas (por ejemplo: las contraseñas que pones siempre van ocultas) también en el desarrollo es muy importante que los programadores conozcan de buenas prácticas de seguridad por ejemplo si envías datos sensibles y los estas almacenando en algún lugar esos datos siempre deben ir cifrados, seguido el desarrollo una vez que se termine y se estén haciendo pruebas lo único de lo que nos deberíamos de asegurar es que se hallan tomado en cuenta los escenarios de ataque posibles y que los datos sean protegidos de manera segura.

Una vez que estamos desplegando nuestra aplicación en un entorno real es también importante preocuparnos por tres puntos importantes:

  1. Confidencialidad.
  2. Integridad.
  3. Disponibilidad.

A este triángulo de ciberseguridad también se le conoce como CIA:

  • Confidenciality
  • Integrity
  • Availability

Es importante una vez se halla lanzado la aplicación obtener FeedBack (Retroalimientación) de los usuarios para encontrar alguna vulnerabilidad que se nos pudo haber ido de las manos.

Un ejemplo de esto son los Zeroday, lo cual es una vulnerabilidad (sin parche), el exploit es lo que se programa posterior a la detección de dicha vulnerabilidad para explotarla.

OWASP es un proyecto de código abierto dedicado a determinar y combatir las causas que hacen que el software sea inseguro.

Encontré este riesgo, y me pareció muy importante de conocer. Ofrece una guía muy directa para comenzar a establecer medidas para proteger los datos de una organización.
Sensitive data exposure

Hola a todos. Les dejo mi aporte, el cual conseguí revisando la pagina de OWASP.

  1. OWASP Web Security Testing Guide: Guia para probar las aplicaciones y los servicios web. Su versión actual es 4.2, pero se encuentran desarrollando la versión 5.0

https://owasp.org/www-project-web-security-testing-guide/v42/

  1. Software Assurance Maturity Model: Marco abierto para ayudar a las organizaciones a formular e implementar una estrategia para la seguridad del software que se adapta a los riesgos específicos que enfrenta la organización.

https://owaspsamm.org/model/

Les recomiendo este sitio https://www.cisecurity.org/

Los 10 mayores riesgos en ciberseguridad segun OWASP

Muy buenas referencias!

¿Cuáles son las 10 principales vulnerabilidades de OWASP contra la seguridad de las API?
Open Web Application Security Project (OWASP) es una organización sin ánimo de lucro cuyo objetivo es promover la seguridad de las aplicaciones web. El OWASP ofrece muchos recursos gratuitos a cualquiera que quiera desarrollar una aplicación web segura.

Uno de sus recursos más referenciados es el OWASP Top 10, que enumera los 10 mayores problemas de seguridad de las aplicaciones web.

OWASP también mantiene una lista separada y similar para interfaces de programación de aplicaciones (API), que son un bloque de desarrollo fundamental para la mayoría de las aplicaciones web. Esta lista es la OWASP API Security Top 10.

A partir de 2019*, el OWASP API Security Top 10 incluye:

Autorización a nivel de objeto sin función: hace referencia a la manipulación de los identificadores de los objetos en una solicitud para obtener acceso no autorizado a datos confidenciales. Los atacantes acceden a objetos (datos) a los que no deberían tener acceso, con simplemente cambiar los identificadores.
Autenticación de usuario sin función: si la autenticación se implementa de forma incorrecta, los atacantes pueden ser capaces de suplantar a los usuarios de la API, lo que les permite acceder a datos confidenciales.
Exposición excesiva de datos: muchas API exponen demasiado los datos y cuentan con que el usuario de la API los filtre adecuadamente. Esto podría permitir que personas no autorizadas vean los datos.
Falta de recursos y limitación de velocidad: por defecto, muchas API no limitan el número o el tamaño de las solicitudes que pueden recibir en un momento dado. Esto las deja expuestas a ataques de denegación de servicio (DoS).
Autorización a nivel de función sin función: este riesgo tiene que ver con la autorización. Los usuarios de la API pueden estar autorizados a hacer demasiadas cosas, lo cual puede provocar la exposición de los datos.
Asignación masiva: la API aplica automáticamente las entradas del usuario a múltiples propiedades. Por ejemplo, un atacante podría utilizar esta vulnerabilidad para declararse administrador mientras actualiza alguna otra propiedad inocua de su perfil de usuario.
Mala configuración de la seguridad: esto incluye una variedad de errores en la configuración de la API, incluyendo encabezados HTTP mal configurados, métodos HTTP innecesarios y lo que OWASP llama "mensajes de error ampulosos que contienen información confidencial."
Inyección: en un ataque de inyección, el atacante envía comandos especializados a la API que la engañan para que revele datos o ejecute alguna otra acción inesperada. Más información sobre la inyección SQL.
Gestión de activos inadecuada: esto se produce cuando no hay un seguimiento tanto de las API actuales y de producción como de las que han quedado obsoletas, lo cual genera shadow API. Las API son vulnerables a este riesgo porque tienden a poner a disposición muchos puntos de conexión.
Registro y supervisión insuficiente: OWASP señala que los estudios muestran que se suele tardar más de 200 días en detectar una fuga. Un registro detallado de eventos y una estrecha supervisión pueden permitir que los desarrolladores de API detecten y detengan las fugas mucho antes.

En este link pueden encontrar el marco de conocimiento de seguridad de OWASP
https://owasp.org/www-project-security-knowledge-framework/

https://owasp.org/Top10/A03_2021-Injection/ me gustan muchos estos temas de bases de datos y por eso quiero estudiar ciberseguridad para desarrollar bases de datos mas seguras.

El control de acceso roto, es una clara vulnerabilidad que ha tomado fuerza el año 2021.

https://owasp.org/Top10/A01_2021-Broken_Access_Control/

https://owasp.org/www-project-web-security-testing-guide/

sOBRE TESING DE SEGURIDAD, YO VENGO DE AREA DE PRUEBS DE RENDIMIENTO.

Creo ahi es importante tomar consciencia al desarrollar software de las pruebas que se puedan hacer para mitigar en lo posible los ataques al codigo apegandose a las best practices

Recomiendo que se lean el libro de clean code, es un recurso super util que tambien nos ofrece para este mundo.

me pareció muy interesante la forma en la que el programador tiene definido su estructura para que no se le olvide ingresar el algoritmo para modificar la visualización de la contraseña en símbolo de asterisco como el usuario final que por alguna razón puede llegar a olvidarse de ocultar datos o contraseñas importantes este algoritmo lo ayuda a proteger sus datos inconscientemente

Del Top 10 de OWASP me sorprende ver que el primer lugar lo ocupan las inyecciones SQL, por lo visto hay desarrolladores que no hacen uso de buenas prácticas de programación y diseño web.
https://wiki.owasp.org/images/5/5e/OWASP-Top-10-2017-es.pdf

El estándar que se debería tener en cuenta a la hora de desarrollar es el MASVS que se encuentra aquí (https://owasp.org/www-project-mobile-security-testing-guide/) y el cual contiene información relevante que permitirá a cualquier desarrollador o arquitecto de software tomar mejores decisiones a la hora de elaborar proyectos.

===== Ciclo de Vida del Desarrollo de Software =====

   ---> Requerimientos -> Diseño -> Desarrollo -----
  |                                              				   |
  |                                              				   |
   <--- Operaciones <- Despliegue <- Pruebas <---

La ciberseguridad aplica y debería estar presente en cada una de las fases del ciclo de vida del
desarrollo de software.
En la fase de desarrollo, los programadores deben conocer metodologías de buenas practicas de seguridad
como las que se pueden encontrar en OWASP.

Tener en cuenta los siguientes proyecto de OWASP:

    * Security knowledge framework (framework de conocimientos de seguridad)
        Aprender a como desarrollar aplicaciones web seguras desde el principio

    * Web security testing guide (guía de pruebas de seguridad web)
        Aprender a realizar pruebas de seguridad a las aplicaciones web

    * OWASP top ten 
        Los 10 riesgos de seguridad más críticos en presentes en aplicaciones web

    * Juice shop
        Aplicación web insegura, compuesta de desafíos donde se puede practicar hacking web, útil para el
        aprendizaje en ciberseguridad, para demostraciones de lo que no se debe hacer. 

    * Zep attack proxy (ZAP)
        Es una herramienta gratuita de prueba de penetración, de código abierto, que corresponde a un proxy
        de interceptación, utilizado para interceptar, inspeccionar y modificar los mensajes enviados entre
        el navegador web y la aplicación web.

DIFERENCIA ENTRE ESTEGANOGRAFÍA Y CRIPTOGRAFÍA

  1. Esteganografía : La
    esteganografía es un método en el que se oculta un mensaje secreto en un medio de portada. La esteganografía significa escritura cubierta. La esteganografía es la idea de evitar información secreta creando sospechas. La esteganografía es menos popular que la criptografía. En la esteganografía, la estructura de los datos no suele alterarse.
    Las formas de esteganografía son:

  2. Text

  3. Audio

  4. Video

  5. Images

  6. Network or Protocol

  7. Criptografía :
    Criptografía significa escritura secreta. En criptografía, el remitente no envía el mensaje directamente al receptor, antes de enviar información al receptor, la información o el texto sin formato se convierte en texto cifrado mediante el uso de algún algoritmo de cifrado, luego se envía al receptor y el receptor descifra el texto cifrado en texto sin formato para leer el información original.
    Es de dos tipos:

  8. Symmetric key cryptography

  9. Asymmetric key cryptography

Es interesante ver que tiene presencia en mi país Ecuador y que cualquiera puede unirse para contribuir.

La aplicación de código seguro es una idea de la Ingeniería de Software que busca que un producto desarrollado continúe funcionando correctamente ante ataques maliciosos y puede ser vista como una medida de robustez de un sistema de software, respecto a una política de seguridad. Es decir, que la raíz de muchos problemas de seguridad está en que el software falla de forma inesperada.

Es importante no solo saber de OWASP, sino entenderlo.

Solo si conocemos el origen, podemos evitar que vuelva a suceder.

Éxitos

Verificar que, en el servidor, todas las copias almacenadas en caché o temporales de datos sensibles estén protegidos de accesos no autorizados o son purgados/invalidados después del acceso por parte del usuario autorizado.

OWASP reglas basicas y super necesarias para todo desarrollo de una aplicacion

Además de proporcionar recursos y listas de las 10 principales vulnerabilidades de seguridad web, OWASP también organiza conferencias, talleres y eventos de capacitación en todo el mundo para fomentar el intercambio de conocimientos y las mejores prácticas en seguridad de aplicaciones web. Estos eventos reúnen a profesionales de la seguridad, desarrolladores de software y líderes de la industria para colaborar en la mejora de la seguridad del software.

OWASP, o la Open Web Application Security Project, es una comunidad dedicada a mejorar la seguridad del software. Proporciona recursos gratuitos y herramientas para ayudar a las organizaciones a comprender, identificar y mitigar las vulnerabilidades de seguridad en las aplicaciones web. OWASP también crea listas de las 10 principales vulnerabilidades de seguridad web, como Injection, Cross-Site Scripting (XSS) y Broken Authentication, para ayudar a las empresas a priorizar sus esfuerzos de seguridad. Su objetivo es hacer que las aplicaciones web sean más seguras y proteger a los usuarios contra amenazas cibernéticas.

* **Attack vector:** "This metric reflects the context by which vulnerability exploitation is possible" ([source](https://www.first.org/cvss/ "Common Vulnerability Scoring System")). Values for this metric are ranging from network access (e.g., via the internet) to physical access. Within the attacker model, this metric will be reflected by the physical access level. * **Attack complexity:** "This metric describes the conditions beyond the attacker's control that must exist in order to exploit the vulnerability" ([source](https://www.first.org/cvss/ "Common Vulnerability Scoring System")). The attack complexity is not used in the attacker model since it refers to "conditions beyond the attacker's control" ([source](https://www.first.org/cvss/ "Common Vulnerability Scoring System")) and thus is not relevant for categorizing potential attackers. * **Privileges required:** "This metric describes the level of privileges an attacker must possess before successfully exploiting the vulnerability" ([source](https://www.first.org/cvss/ "Common Vulnerability Scoring System")). Values for this metric are ranging from none (no privileges) to high. The required privileges are represented in the attacker model by the authorization access level. * **User interaction:** "This metric captures the requirement for a human user, other than the attacker, to participate in the successful compromise of the vulnerable component" ([source](https://www.first.org/cvss/ "Common Vulnerability Scoring System")). The necessity of interactions by legitimate users will not be considered in the attacker model since, while being relevant for the exploitability of a vulnerability, it is not relevant for the selection of applicable test cases.
Top 10 de OWASP para tener en cuenta al momento de desarrollar aplicaciones: <https://owasp.org/Top10/es/>
OWASP es un nuevo tipo de entidad en el mercado de seguridad informática. Estar libre de presiones corporativas facilita que OWASP proporcione información imparcial, práctica y redituable sobre seguridad de aplicaciones informáticas. OWASP no está afiliado a ninguna compañía tecnológica, si bien apoya el uso informado de tecnologías de seguridad. OWASP recomienda enfocar la seguridad de aplicaciones informáticas considerando todas sus dimensiones: personas, procesos y tecnologías.

Gracias

Guía de Pruebas de OWASP. La guía de pruebas que está leyendo cubre los procedimientos y herramienta para probar la seguridad de las aplicaciones. La mejor manera de usar esta guía es como parte de una verificación exhaustiva de las seguridad en aplicaciones. **Fuente:** [**https://owasp.org/www-pdf-archive/Gu%C3%ADa\_de\_pruebas\_de\_OWASP\_ver\_3.0.pdf**](https://owasp.org/www-pdf-archive/Gu%C3%ADa_de_pruebas_de_OWASP_ver_3.0.pdf)

el término “código seguro” abarca diferentes contextos, desde la verificación de la autenticidad de documentos electrónicos hasta las prácticas de codificación segura en el desarrollo de software, con el objetivo de garantizar la integridad y la seguridad de la información.

More eyes on release quality, with a positive impact to release velocity: Esa comunica que los usuarios puedan esperar mar valor con cada lanzamiento y mas como mejores respuestas dirigidas hacia lo que necesitan los usuarios

listado de los problemas de seguridad más comunes en las aplicaciones web y ordenados de más a menos críticos.

A1: Inyección
A2: Pérdida de autenticación y gestión de sesiones
A3: Datos sensibles accesibles
A4: Entidad externa de XML (XXE)
A5: Control de acceso inseguro
A6: Configuración de seguridad incorrecta
A7: Cross site scripting (XSS)
A8: Decodificación insegura
A9: Componentes con vulnerabilidades
A10: Insuficiente monitorización y registro

¿Qué es y para qué sirve OWASP?
El Open Web Application Security Project (OWASP) está dedicado a la búsqueda y la lucha contra las vulnerabilidades en el software. La OWASP Foundation es una organización sin ánimo de lucro que proporciona la infraestructura y apoya a este trabajo

¡Hice la tarea!

Aquí les comparto el link de OWASP.

Software Assurance Maturity Model

https://owasp.org/www-project-samm/

Hay una serie de cosas que puede hacer para proteger sus datos cuando es programador y desarrolla un proyecto de software. Estas son algunas de las más importantes:

Use contraseñas fuertes y únicas. Esto significa usar una contraseña diferente para cada cuenta y usar una combinación de letras, números y símbolos.
Activación de la autenticación de dos factores (2FA). Esto agregará una capa adicional de seguridad a sus cuentas al requerir que ingrese un código de una aplicación de autenticación además de su contraseña.
Utilice una VPN. Una VPN cifra su tráfico de Internet y lo dirige a través de un servidor en otro país. Esto puede ayudarlo a proteger su privacidad y seguridad en línea.
Mantenga su software actualizado. Los desarrolladores lanzan regularmente actualizaciones de software que contienen parches para vulnerabilidades de seguridad. Es importante mantener su software actualizado para que esté protegido de las últimas amenazas.
Sea consciente de las estafas y los ataques de phishing. Los estafadores utilizan una variedad de métodos para engañar a las personas para que revelen información personal, como contraseñas y números de tarjetas de crédito. Sea consciente de las estafas y los ataques de phishing y evite hacer clic en enlaces en correos electrónicos o mensajes de texto no solicitados.
Realice copias de seguridad de sus datos regularmente. Esto le ayudará a proteger sus datos en caso de que su computadora se vea comprometida o se pierda.
Siguiendo estos consejos, puede ayudar a proteger sus datos cuando es programador y desarrolla un proyecto de software.

Aquí hay algunos consejos adicionales que pueden ser útiles:

Utilice un sistema de control de versiones. Esto le ayudará a rastrear los cambios en su código y hacer retroceder su código en caso de que cometa un error.
Use un entorno de desarrollo aislado. Esto le ayudará a proteger su computadora de malware y otras amenazas.
Haga pruebas de penetración de su software. Esto le ayudará a identificar vulnerabilidades en su software que pueden ser explotadas por los atacantes.
Educa a sus empleados sobre la seguridad cibernética. Esto le ayudará a crear conciencia sobre las amenazas a la seguridad cibernética y cómo protegerse.
Al seguir estos consejos, puede ayudar a proteger su software y los datos de sus usuarios de las amenazas a la seguridad cibernética.

¿Qué es lo mas seguro con esto?

Las aplicaciones de IA están en aumento y también lo están las preocupaciones con respecto a la seguridad y privacidad de la IA. ¿Cómo se pueden atacar los sistemas de IA? ¿Cómo se pueden proteger? Es por eso que OWASP ahora ofrece el Guía de seguridad y privacidad de IA - para proporcionar información clara y procesable sobre el diseño, la creación, las pruebas y la adquisición de sistemas de IA seguros y que preservan la privacidad. Al abrir nuestra comprensión del estado del arte, podemos crear consenso y recopilar ideas desde una variedad de perspectivas.

Project Spotlight: AI Security and Privacy Guide

AI applications are on the rise and so are the concerns regarding AI security and privacy. How can AI systems be attacked? How can they be protected? This is why OWASP is now offering the AI security & privacy guide - to provide clear and actionable insights on designing, creating, testing, and procuring secure and privacy-preserving AI systems. By open-sourcing our understanding of the state-of-the-art, we can create consensus and collect ideas from a variety of perspectives.

El OWASP Top 10 es un documento de concienciación estándar para desarrolladores y seguridad de aplicaciones web. Representa un amplio consenso sobre los riesgos de seguridad más críticos para las aplicaciones web, reconocido mundialmente por los desarrolladores como el primer paso hacia una codificación más segura.
Fuente: https://www.es.consulting/es/seguridad-cibernetica/owasp-top-10

Buenas prácticas de seguridad es justo y necesario. Debe reunirse todos los requisitos exigidos. Puntos primordiales en cualquier aplicación: Confidencialidad, Integridad y la Disponibilidad en los datos.

El Open Web Application Security Project ® (OWASP) es una fundación sin fines de lucro que trabaja para mejorar la seguridad del software. A través de proyectos de software de código abierto liderados por la comunidad, cientos de capítulos locales en todo el mundo, decenas de miles de miembros y conferencias educativas y de capacitación líderes, la Fundación OWASP es la fuente para que los desarrolladores y tecnólogos protejan la web.

Excelente clase.

OWASP es muy interestante. Reviso como parte del curso Preparacion para la certification en la Norma ISO 27001.

La guía aborda todo el ciclo de vida de desarrollo seguro y lo divide en siete etapas, y brinda recomendaciones para cada una de ellas:

  1. Inicio del proyecto: una recomendación destacable de la guía es tener como premisa que la aplicación desarrollada recibirá ataques periódicamente y que algunos de ellos funcionarán. Así, recomienda que el equipo de seguridad participe desde esta etapa.

  2. Análisis de los requerimientos: la guía recomienda identificar aquellos elementos que se deban priorizar por su valor para la organización. Además, establece recomendaciones respecto de los requerimientos de seguridad, requerimientos de privacidad y los requerimientos arbitrarios y sobre la necesidad de establecer prioridades entre ellos.

  3. Diseño del sistema: la guía sugiere aplicar los siguientes principios de diseño seguro:
    • minimización de la superficie de ataque;
    • diseño para ser mantenido;
    • identificación del eslabón más débil;
    • seguridad por defecto;
    • mantenimiento de la usabilidad;
    • autorización para todo por defecto;
    • mínimo privilegio;
    • separación de responsabilidades y roles;
    • defensa en profundidad;
    • insuficiencia de los controles en el cliente;
    • ayuda a los administradores;
    • diseños sin secretos;
    • modelado de amenazas.

  4. Implementación: en esta etapa, es necesario establecer un criterio de rango de erros y fallos, considerando su prioridad y la severidad del defecto que generan. Además, recomienda usar herramientas de control como Git, Subversion, Mercurial y CVS.

  5. Prueba: la guía recomienda comenzar las pruebas de seguridad en paralelo con la etapa de desarrollo, y priorizar aquellos componentes que sean los más críticos de la aplicación. Asimismo, recomienda realizar pruebas de penetración, de auditorías manuales de códigos y trae prevenciones para el caso en que las pruebas sean tercerizadas.

  6. Puesta en producción: entre las recomendaciones para el despliegue de la aplicación se destacan la segregación de ambientes y el hardenizado de equipos.

  7. Mantenimiento: la guía recomienda mantener los niveles de seguridad durante el funcionamiento de la aplicación y sugiere implementar un protocolo de back-up, monitorear periódicamente la seguridad y alertas, ofrecer un canal para el reporte de fallos, errores y vulnerabilidades y considerar la privacidad de los datos almacenadas al momento de descartar la aplicación.

Código seguro
Escribir código con buenas prácticas para ser mucho más seguro.
“Ciclo de vida del desarrollo de Software:”

  • Requerimientos: Requisitos de seguridad obligatorios.
  • Diseño: Ej: Ocultar las contraseñas mientras la escribes.
  • Desarrollo: Buenas prácticas de seguridad al programar (Al manipular o almacenar datos sencibles).
  • Pruebas: Revisar que se hayan tomado en cuenta los requisitos de seguridad en todos los ciclos anteriores. Prevenir posibles escenarios de ataque.
  • Despliegue: Confidencialidad, disponibilidad e integridad
  • Operaciones: Feedback de los usuarios por si hay algún problema.

**OWASP : **Open Wep Application Security Project, se convirtió en el estándar de ciberseguridad para detectar y corregir vulnerabilidades en el desarrollo de software y hardware. Contiene documentación, guías, requisitos, etc., para aprender código seguro.

Me encanta, tiene tantas ramas la ciberseguridad

Super interesante, me encanta este tema, vamos por mas.

Código de conducta

  • Desempeñar todas las actividades y deberes profesionales de conformidad con todas
    las leyes aplicables y los más altos principios éticos;

  • Promover la implementación y promover el cumplimiento de estándares,
    procedimientos, controles para la seguridad de las aplicaciones;

  • Mantener la confidencialidad adecuada de la información privada o confidencia
    que se encuentre en el curso de las actividades profesionales;

  • Desempeñar las responsabilidades profesionales con diligencia y honestidad;

  • Comunicarse abierta y honestamente;

  • Abstenerse de cualquier actividad que pueda constituir un conflicto de intereses o
    dañar la reputación de los empleadores, la profesión de seguridad de la información o
    la Fundación;

  • Mantener y afirmar nuestra objetividad e independencia;

  • Rechazar la presión inapropiada de la industria u otros;

  • No dañar o impugnar intencionalmente la reputación o práctica profesional de colegas,
    clientes o empleadores;

  • Tratar a todos con respeto y dignidad;

  • No violar las marcas comerciales, derechos de autor o licencias de OWASP;

  • Proporcionar la atribución adecuada para evitar el plagio y la infracción de derechos de autor, tanto dentro como fuera de OWASP;

  • Asegúrese de que el trabajo enviado a OWASP sea completamente suyo y no se copie, total o parcialmente, sin la debida atribución o permiso;

  • Cumplir con todas las disposiciones en los documentos, acuerdos y políticas organizacionales aplicables de la Fundación OWASP (i) que requieren el cumplimiento de las leyes de exportación aplicables, incluidas las reglas y regulaciones de control de exportaciones de los Estados Unidos; o (ii) exigir el cumplimiento de las leyes antimonopolio y de competencia aplicables, incluidas las normas y reglamentos antimonopolio de los Estados Unidos.

  • No participar en ningún discurso o acción intimidatorio, acosador, discriminatorio, abusivo, despectivo o degradante (“acoso” incluye, pero no se limita a: Comunicación o conducta que una persona razonable en las circunstancias del individuo
    consideraría no deseada, intimidante, hostil, amenazante, violento, abusivo u ofensivo, dicha comunicación puede estar relacionada con el género, la identidad y expresión de
    género, la orientación sexual, la discapacidad, el origen nacional, la raza, la edad, la religión; también incluye acechar, seguir, acosar fotografías o grabaciones, interrupción sostenida de charlas u otros eventos, contacto físico inapropiado y atención sexual no deseada);

  • Evitar relaciones que perjudiquen, o parezcan perjudicar, la objetividad e independencia
    de la Fundación OWASP;

  • No participar en actividades ilegales o cometer violaciones de la ley aplicable, incluidas, entre otras, las leyes de los Estados Unidos y sus estados o la Unión Europea, que (i) podría resultar o realmente resultar en responsabilidad o daño a la Fundación OWASP; o (ii) están relacionados con su participación en la Fundación OWASP, incluido el uso de materiales y publicaciones de la Fundación OWASP, actividades patrocinadas; o (iii) están relacionados con su uso de software desarrollado en un proyecto patrocinado por la Fundación OWASP.

La TRIADA- CIA es super importante manejar el término para que podamos aplicarlo en todo lo que es la ciberseguridad. Tanto para redes más seguras o sistemas.

Recomiendo poner este curso en 1.25X

La sección proyectos me parece contiene una variedad de proyectos muy interesantes con los que se puede comprobar la necesidad de implementar medidas de seguridad en diferentes tipos de proyectos.

OWASP

Feedback de usuarios

Despliegue y requerimientos

Desarrollo

Diseño

Requerimientos

Ciclo de vida del desarrollo de software

Relamente muy interesante, fascinado ando con el mundo de laciberseguridad. Realmente no entendemos completamente el alcance, solo hasta cuando comenzamos a involucrarnos en este fantastico mundo.

Documento: OWASP Top Ten: hace referecia a los riesgos más comunes de seguridad en el ámbito digital y de la programación. Este tipo de guía pone en conocimiento de los programadores los aspectos con mayores riesgos de seguridad que deben fortalecer durante la elaboración de sus programas y aplicaciones.

https://cheatsheetseries.owasp.org/
cuenta con una guia rapida de diversos temas

Resumen en Notion
https://n9.cl/wq8x8

Chale, ya no están los cursos de OWASP

si la ciberseguridad ahora esta muy presente en la vida mas que ahora la tecnología avanzado mucho tan en servidores como telefono y red web.

Con la herramienta SONAR se pueden llevar a cabo pruebas del nuestro código.

Código seguro

  • requerimiento
  • diseño
  • desarrollo
  • operaciones
  • despliegue
  • pruebas

La comunidad OWASP está formada por empresas, organizaciones educativas y particulares de todo mundo. Juntos constituyen una comunidad de seguridad informática que trabaja para crear artículos, metodologías, documentación, herramientas y tecnologías que se liberan y pueden ser usadas gratuitamente por cualquiera.

El proyecto Top 10, de OWASP da a las empresas información sobre posibles ataques a la infraestructura web, donde muestra situaciones mas utilizadas para que las organizaciones puedan hacer un despliegue de seguridad ante estos futuros ataques.

También brindan la opción a las empresas de mostrar su top 10 de posibles casos, ya que todas pueden tener ataques diferentes y ser vulnerables en diferentes formas.

El curso de OWASP ya lo tienen fuera

Documentación importante OWASP Top 10 para webapps, serverless, mobile, API, adicionalmente cheatsheetseries

SQL Injection
Creo que es el ataque más común que se puede hacer y al que tenemos que estar muy atentos, sobre todo si vamos a manejar el backend de una aplicación.

La calidad se emplea en todo el ciclo de desarrollo del software o debería aplicarse.

Saludos.

Les comparto el articulo: A02:2021 – Cryptographic Failures. Principalmente que me llama la atención la criptografía, el contenido es muy bueno para siempre tener en cuenta el gran valor que da cifrar información sensible. Link: <https://owasp.org/Top10/A02_2021-Cryptographic_Failures/>

Buena explicación