The OWASP Foundation
OWASP Uruguay Chapter
http://www.owasp.org
Seguridad en el Ciclo de
Vida de Desarrollo
Mauro Flores
OWASP Global Industry Committee
OWASP Uruguay Chapter Leader
[email protected]
@mauro_fcib
Agenda
•Introducción al OWASP
•Seguridad en el SDLC
OWASP ??!!!!!
OWASP -Open Web Application Application Security
Project
• Comunidad abierta y sin fines de lucro
• Organización de voluntarios
• Soportada a través de patrocinios
• Promueve el desarrollo de software seguro de
aplicaciones
OWASP ??!!!!!
• Proporcionar recursos gratuitos para la comunidad
• Becas pasa el desarrollo de nuevos proyectos
Posibilidad de utilizar las herramientas y
colaboradores disponibles para generar nuevos
proyectos
• Becas de Investigación
OWASP otorga becas a investigadores de la
seguridad en aplicaciones para desarrollar
herramientas, guías, publicaciones, etc.
Licencias
Approach == “OPEN”
Todos los documentos, estándares y herramientas se
distribuyen en base a licencias open-source
GFDL
GPL
BSD License
Creative Commons
Capítulos
OWASP …
OWASP PCI Project
OWASP Mobile Security Project
OWASP Cloud Security
Seguridad en el SDLC
SDLC
Metodologías para la incorporación de la seguridad en el
SDLC
• Comprehesive, Lightweight Application
Security Process (CLASP)
• Software Assurance Maturity Model (SAMM)
CLASP
Organización:
• 5 Vistas
• 7 roles asociados al SDLC
• Gerente de Proyecto
• Arquitecto
• Especificador de Requerimientos
• Diseñador
• Implementador (equipos de desarrollo)
• Tester
• Auditor de Seguridad
• 24 Actividades a desarrollar
• 104 fallas de seguridad agrupadas en 5 categorías
CLASP
Defino cuales de los 7
roles participarán de
mi proyecto
Concepts View(I)
Milestone: Understand how CLASP process components interact
and how to apply II through V.
Vulnerability View (V)
Milestone: Integrate solutions to problem types into III and IV
Consequences of unresolved
Role-Based View (II)
Milestone: Create roles required by security-related project and
utilize them in III, IV and V
Vulnerabilities
Risk Assessment
Activity-Assessment View (III)
Milestone: Assess 24 security-related CLASP activities for suitability in IV
Implementation Costs
Activity
Applicability
Risk of
Inaction
Problem Types
104 problems types are subsumed under 5
high-level Categories
Avoidance &
Mitigation
Techniques
Exposures Periods
Activity-Implementation View (IV)
Milestone: Perform subset of 24 security-related CLASP
activities selected in III
Defino cuales
de las
(by SDLC phases)
24 actividades
ejecutaré
A & M Periods (by SDLC phases)
CLASP
OpenSAMM
Los recursos de SAMM ayudarán a:
• Evaluar las prácticas de seguridad existentes
• Construir un programa de seguridad en iteraciones bien
definidas
• Demostrar mejoras concretas en el aseguramiento de
Software
• Definir y medir las actividades relacionadas con seguridad
OpenSAMM
Funciones de Negocio
OpenSAMM
OpenSAMM
OpenSAMM
Por cada nivel SAMM define:
• Objetivos
• Actividades
• Resultados
• Umbrales de satisfacción
• Coste
• Personal
• Niveles relacionados
OWASP == ‘Secure SDLC’
Code Crawler
ZAP
ESAPI
Mantra
Code review
Guide
Testing
Guide
OWASP
Controles
Establecer
requerimientos de
Análisis de
Seguridad
Riesgo
SDLC
Controles
Política
ASVS
Validar
requerimientos de
Testingseguridad
de
WAF/XML
Revisión de
Código
Seguridad
Construir
Plan
Concientización
ESAPI
WAF
firewalls
Implementar
Test
Entrenamiento
Prácticas de
desarrollo Seguro
Top 10
ZAP
OWASP
Swingset
Mauro Flores
OWASP Uruguay Chapter Leader
OWASP Global Industry Committee
[email protected]
Twitter: @mauro_fcib
Descargar

Seguridad en el ciclo de vida de desarrollo