Código Seguro en el Ciclo de Vida del Desarrollo de Software

Clase 9 de 15 • Guía para Aprender Seguridad Informática

Resumen

El código seguro es una rama de la ciberseguridad que te interesará muchísimo si eres desarrollador de software, porque podrás escribir código con buenas prácticas para que sea mucho más seguro.

Ciclo de vida del desarrollo de software

En todo el ciclo del desarrollo de software es importante que se tenga en cuenta la ciberseguridad. Porque está a veces se puede encontrar en los pequeños detalles. Como por ejemplo, cuando estás escribiendo una contraseña, esta debe estar oculta predeterminadamente. Entonces veamos las distintas etapas del desarrollo de software:

Requerimientos
Diseño
Desarrollo
Operaciones
Despliegue
Pruebas

OWASP

OWASP es una institución encargada de crear distintos tipos de reglas que se deben seguir a la hora de desarrollar software, con el fin de combatir el código inseguro.

Para resumir, el código seguro es una parte del desarrollo de software muy importante que se debe ejecutar para combatir los huecos de seguridad en el código o lo zero-day exploits, que posteriormente bajarían la calidad y seguridad de nuestros proyectos.

Contribución creada con los aportes de: Danilo H

Julio Flores

student•

😋 ¿Qué es la Fundación OWASP? (Open Web Application Security Project):

🖥️ Es una fundación sin fines de lucro que trabaja para mejorar la seguridad del software.
🖥️ La Fundación OWASP es la fuente para que los desarrolladores y tecnólogos protejan la web. Herramientas y recursos Comunidad y redes Educación y formación.
🖥️ Durante casi dos décadas, corporaciones, fundaciones, desarrolladores y voluntarios han apoyado a la Fundación OWASP y su trabajo.

Diego Fernando Ramos Aguirre

student•

Gracias por el aporte.

Eduardo Rafael Romero Bernal

student•

¿Esta clase fue un video o un podcast? jeje

Arles A. Pinzon Molina

student•

🛡 La ciberseguridad debe estar presente en todas las fases del ciclo de vida del software.

William mauricio bustos carrillo

student•

no solo software, de las personas

Arles A. Pinzon Molina

student•

@wmbustosc tal cual 🤗

Nicolás Marciales

student•

Creo que la profesora genera una confusión cuando se habla de Zeroday.. lo cual es una vulnerabilidad (sin parche) el exploit es lo que se programa posterior a la detección de dicha vulnerabilidad para explotarla...

Yury D. Morales

student•

El nombre de tu usuario da credibilidad

Cristian Camilo Martínez Palacios

student•

Me alineo a tu comentario.

José Alberto Ortiz Vargas

student•

Una vez desplegada nuestra aplicacion en un entorno real, es importante tener en cuenta los siguientes tres puntos:

Confidencialidad de los datos
Integridad de los datos
Disponibilidad de los datos

Eduardo Sebastián Sandoval Jiménez

student•

Justo lo que buscaba, gracias por el aporte!

Oscar Castillo

student•

En inglés es fácil de recordar, a este triángulo de ciberseguridad se le conoce como CIA:

Confidenciality Integrity Availability

Bryan Alexander Portillo Sánchez

student•

Aca pueden encontar el TOP 10 de los riesgos de las aplicaciones WEB segun OWASP:) https://owasp.org/www-project-top-ten/

Porras Jeniffer

student•

Gracias.

Patricio Sánchez Fernández

student•

Gracias Brian.

Zally hg

teacher•

Acá un excelente link para comenzar a aprender de código seguro chicos!

https://github.com/OWASP/wstg/tree/master/document

Jesus Geider Guerra Hernandez

student•

Mil gracias por el aporte!

Edgar Eduardo Arciniega Torres

student•

Interesante clase. Comparto dos enlaces donde se explica a profundidad la diferencia entre vulnerabilidades de día cero y ataques de día cero. https://searchsecurity.techtarget.com/definition/zero-day-vulnerability https://www.fireeye.com/current-threats/what-is-a-zero-day-exploit.html#:~:text=Zero%2Dday%20exploit%3A%20an%20advanced,anyone%20realizes%20something%20is%20wrong.

Fernando Alberto Ruano

student•

clase gratis 3 ed octubre

Patricio Sánchez Fernández

student•

Gracias Edgar.

Carlos Arturo Mendoza Mejía

student•

Resumen de la clase: Código seguro

Ciclo de vida del desarrollo de software:

Requerimiento
Diseño
Desarrollo
Pruebas
Despliegue
Operaciones

¿En que parte entra la cyberseguridad?

En todas ellas, porque desde que estamos creando una aplicación estamos haciendo los requerimientos es importante que se tomen en cuenta los requisitos de seguridad, al momento de diseñar puede haber aspectos que pueden cambiar mucho las cosas (por ejemplo: las contraseñas que pones siempre van ocultas) también en el desarrollo es muy importante que los programadores conozcan de buenas prácticas de seguridad por ejemplo si envías datos sensibles y los estas almacenando en algún lugar esos datos siempre deben ir cifrados, seguido el desarrollo una vez que se termine y se estén haciendo pruebas lo único de lo que nos deberíamos de asegurar es que se hallan tomado en cuenta los escenarios de ataque posibles y que los datos sean protegidos de manera segura.

Una vez que estamos desplegando nuestra aplicación en un entorno real es también importante preocuparnos por tres puntos importantes:

Confidencialidad.
Integridad.
Disponibilidad.

A este triángulo de ciberseguridad también se le conoce como CIA:

Confidenciality
Integrity
Availability

Es importante una vez se halla lanzado la aplicación obtener FeedBack (Retroalimientación) de los usuarios para encontrar alguna vulnerabilidad que se nos pudo haber ido de las manos.

Un ejemplo de esto son los Zeroday, lo cual es una vulnerabilidad (sin parche), el exploit es lo que se programa posterior a la detección de dicha vulnerabilidad para explotarla.

OWASP es un proyecto de código abierto dedicado a determinar y combatir las causas que hacen que el software sea inseguro.

Edward John Rodriguez Soto

student•

Excelente muchas gracias por el aporte

Manuel Sierra

student•

En la parte de recursos la profe me iva despistando por el orden en que puso las etapas pero este aporte me ayudo a seguir el orden jejje =)

Nicolás Marciales

student•

Algún curso de desarrollo de codigo seguro?

Roberto Andres Viruete Gonzalez

student•

me imagino que cuando aprendes programacion,en cada lenguaje te van a enseñar a tener las precauciones necesarias

José Cárdenas

student•

Las buenas practicas al escribir codigo ayuda mucho el proteger el codigo.

Angel Francisco Flores Ayala

student•

Encontré este riesgo, y me pareció muy importante de conocer. Ofrece una guía muy directa para comenzar a establecer medidas para proteger los datos de una organización. Sensitive data exposure

Daniel Eduardo Bernal

student•

Hola a todos. Les dejo mi aporte, el cual conseguí revisando la pagina de OWASP.

OWASP Web Security Testing Guide: Guia para probar las aplicaciones y los servicios web. Su versión actual es 4.2, pero se encuentran desarrollando la versión 5.0

https://owasp.org/www-project-web-security-testing-guide/v42/

Software Assurance Maturity Model: Marco abierto para ayudar a las organizaciones a formular e implementar una estrategia para la seguridad del software que se adapta a los riesgos específicos que enfrenta la organización.

https://owaspsamm.org/model/

Luis Rodrigo Alvarez Herrera

student•

Les recomiendo este sitio https://www.cisecurity.org/

Mauricio Guzman

student•

Los 10 mayores riesgos en ciberseguridad segun OWASP

Walter Omar Barrios Vazquez

student•

Muy buenas referencias!

Porras Jeniffer

student•

Donde puedo encontrar la guía?

Alejandro González Mireles

student•

Si te refieres a la guía de los roles, es en este link solo tienes que darle a las palabras en azul "¡Descarga aquí tu guía de retos!" y te redireccionará a Google drive donde puedes encontrarlo en "Compartidos conmigo"

Alejandro González Mireles

student•

Discúlpame, es la primera vez que respondo una pregunta y no vi que te referías a la calce de "Código seguro". La única guía que encontré referente a la clase para ayudarte es el ++TOP 10 de OSWAP++

Dayann Ordoñez Castro

student•

En este link pueden encontrar el marco de conocimiento de seguridad de OWASP https://owasp.org/www-project-security-knowledge-framework/

Angela Liliana Nancy Cáceres Carhuachagua

student•

Tristemente, el enlace está roto :(

MIGUEL URIEL SOLÓRZANO ACUÑA

student•

¿Cuáles son las 10 principales vulnerabilidades de OWASP contra la seguridad de las API? Open Web Application Security Project (OWASP) es una organización sin ánimo de lucro cuyo objetivo es promover la seguridad de las aplicaciones web. El OWASP ofrece muchos recursos gratuitos a cualquiera que quiera desarrollar una aplicación web segura.

Uno de sus recursos más referenciados es el OWASP Top 10, que enumera los 10 mayores problemas de seguridad de las aplicaciones web.

OWASP también mantiene una lista separada y similar para interfaces de programación de aplicaciones (API), que son un bloque de desarrollo fundamental para la mayoría de las aplicaciones web. Esta lista es la OWASP API Security Top 10.

A partir de 2019*, el OWASP API Security Top 10 incluye:

Autorización a nivel de objeto sin función: hace referencia a la manipulación de los identificadores de los objetos en una solicitud para obtener acceso no autorizado a datos confidenciales. Los atacantes acceden a objetos (datos) a los que no deberían tener acceso, con simplemente cambiar los identificadores. Autenticación de usuario sin función: si la autenticación se implementa de forma incorrecta, los atacantes pueden ser capaces de suplantar a los usuarios de la API, lo que les permite acceder a datos confidenciales. Exposición excesiva de datos: muchas API exponen demasiado los datos y cuentan con que el usuario de la API los filtre adecuadamente. Esto podría permitir que personas no autorizadas vean los datos. Falta de recursos y limitación de velocidad: por defecto, muchas API no limitan el número o el tamaño de las solicitudes que pueden recibir en un momento dado. Esto las deja expuestas a ataques de denegación de servicio (DoS). Autorización a nivel de función sin función: este riesgo tiene que ver con la autorización. Los usuarios de la API pueden estar autorizados a hacer demasiadas cosas, lo cual puede provocar la exposición de los datos. Asignación masiva: la API aplica automáticamente las entradas del usuario a múltiples propiedades. Por ejemplo, un atacante podría utilizar esta vulnerabilidad para declararse administrador mientras actualiza alguna otra propiedad inocua de su perfil de usuario. Mala configuración de la seguridad: esto incluye una variedad de errores en la configuración de la API, incluyendo encabezados HTTP mal configurados, métodos HTTP innecesarios y lo que OWASP llama "mensajes de error ampulosos que contienen información confidencial." Inyección: en un ataque de inyección, el atacante envía comandos especializados a la API que la engañan para que revele datos o ejecute alguna otra acción inesperada. Más información sobre la inyección SQL. Gestión de activos inadecuada: esto se produce cuando no hay un seguimiento tanto de las API actuales y de producción como de las que han quedado obsoletas, lo cual genera shadow API. Las API son vulnerables a este riesgo porque tienden a poner a disposición muchos puntos de conexión. Registro y supervisión insuficiente: OWASP señala que los estudios muestran que se suele tardar más de 200 días en detectar una fuga. Un registro detallado de eventos y una estrecha supervisión pueden permitir que los desarrolladores de API detecten y detengan las fugas mucho antes.

Juan Esteban Acevedo Suarez

student•

https://owasp.org/Top10/A03_2021-Injection/ me gustan muchos estos temas de bases de datos y por eso quiero estudiar ciberseguridad para desarrollar bases de datos mas seguras.

Luis Angel Arapa Chambi

student•

El control de acceso roto, es una clara vulnerabilidad que ha tomado fuerza el año 2021.

https://owasp.org/Top10/A01_2021-Broken_Access_Control/

Arturo Cerecero

student•

https://owasp.org/www-project-web-security-testing-guide/

sOBRE TESING DE SEGURIDAD, YO VENGO DE AREA DE PRUEBS DE RENDIMIENTO.