La aparición de vulnerabilidades por la falta de controles de seguridad es una de las causas por las que se demandan nuevos marcos de trabajo que produzcan software seguro de forma predeterminada. En la conferencia se abordará cómo transformar el proceso de desarrollo de software dando la importancia que merece la seguridad desde el inicio del ciclo de vida. Para ello se propone un nuevo modelo de desarrollo – modelo Viewnext-UEx – que incorpora prácticas de seguridad de forma preventiva y sistemática en todas las fases del proceso de ciclo de vida del software. El propósito de este nuevo modelo es anticipar la detección de vulnerabilidades aplicando la seguridad desde las fases más tempranas, a la vez que se optimizan los procesos de construcción del software. Se exponen los resultados de un escenario preventivo, tras la aplicación del modelo Viewnext-UEx, frente al escenario reactivo tradicional de aplicar la seguridad a partir de la fase de testing.
Linea del tiempo de la inteligencia artificial.pptx
Jose carlossancho slidesLa seguridad en el desarrollo de software implementada de forma preventiva
1. José Carlos Sancho Núñez
(jcsanchon@unex.es)
Profesor Universidad de Extremadura e
Investigador Cátedra Viewnext-UEx
02/12/2021
La Seguridad en el Desarrollo de
Software implementada de forma
Preventiva
2. PRESENTACIÓN
José Carlos
Sancho Núñez
• Ingeniero en Informática
• Doctor en Tecnologías Informáticas
• Profesor Universidad de Extremadura
• Investigador Cátedra Viewnext-UEx
• Miembro del Cuerpo Oficial de Peritos
del Colegio Profesional de Ingenieros en
Informática de Extremadura (Col. 103)
3. 1. Introducción
2. Seguridad en el Software y Modelos Seguros
3. Modelo de Desarrollo Seguro Viewnext-UEx
4. Metodología de Implantación Modelo VN-UEx
5. Resultados de aplicar el Modelo Viewnext-UEx
6. Conclusiones, líneas futuras y publicaciones
ÍNDICE
4. 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES
LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA
JOSÉ CARLOS SANCHO NÚÑEZ 4
Introducción y contexto
01
IS GBS
02
03
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
5. 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES
LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA
JOSÉ CARLOS SANCHO NÚÑEZ 5
Motivación de la investigación
Evolución de los incidentes gestionados por el CCN-CERT.
Fuente: CCN-CERT.
Monitorización de ataques cibernéticos en tiempo real.
Fragmento tomado el 19 de febrero de 2021.
Fuente: Kaspersky.
42.997
38.029
26.500
20.940
18.232
12.916
7.263
2019
2018
2017
2016
2015
2014
2013
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
6. 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES
LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA
JOSÉ CARLOS SANCHO NÚÑEZ 6
Motivación de la investigación
1x
5x
10x
15x
30x
ANÁLISIS
DISEÑO
CODIFICACIÓN INTEGRACIÓN ACEPTACIÓN PRODUCCIÓN
Coste de resolución fallos de seguridad función
de la fase del ciclo del software donde se detecta.
Fuente: NIST
CICLO DE VIDA DEL SOFTWARE
DISEÑO
CODIFICACIÓN
PRUEBAS
IMPLANTACIÓN
PRODUCCIÓN
ANÁLISIS
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
7. 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES
LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA
JOSÉ CARLOS SANCHO NÚÑEZ 7
Objetivos de la investigación
Metodologías
especializadas en
software seguro
Actividades de
seguridad
imprescindibles
Nuevo marco de
trabajo con prácticas
de seguridad
Metodología de
implantación del
modelo propuesto
Comparar las métricas
de la nueva metodología
propuesta con respecto
a la tradicional
Transferir los
resultados a la
comunidad científica
Diseñar e implantar un nuevo modelo
de desarrollo de software seguro que
mejore la seguridad y la productividad
del Desarrollo.
Modelo Seguro
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
8. 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES
LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA
JOSÉ CARLOS SANCHO NÚÑEZ 8
Seguridad en el ciclo de vida del software
Seguridad análisis – Requisitos de seguridad
EVITAR ATAQUES AUTOMATIZADOS
Captchas
Doble factor autenticación
Número de intentos
fallidos
Login
ANÁLISIS
DISEÑO
CODIFICACIÓN
PRUEBAS
IMPLANTACIÓN
CORNUCOPIA
SAFECODE
IRIUSRISK
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
9. 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES
LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA
JOSÉ CARLOS SANCHO NÚÑEZ 9
Seguridad en el ciclo de vida del software
Seguridad diseño – Patrones de diseño
Principio menor
privilegio
Reducción de
ataque
Separación de
privilegios
“Fallo
Seguro”
CORNUCOPIA
SAFECODE
IRIUSRISK
PATRONES DE DISEÑO
ANÁLISIS
DISEÑO
CODIFICACIÓN
PRUEBAS
IMPLANTACIÓN
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
10. 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES
LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA
JOSÉ CARLOS SANCHO NÚÑEZ 10
Seguridad en el ciclo de vida del software
Seguridad diseño – Modelado de amenazas
Web
Service
Directorio
Activo
SQL BDD
SmartPhone
DMZ
Intranet
1. HTTPS – Petición
Datos de Pedido
6. HTTPS –
Datos de Pedido
2. Petición de
Autenticación
3. Confirmación
Autenticado
4. Petición Datos
de Pedido
5. Respuesta
Datos de Pedido
Internet
CORNUCOPIA
SAFECODE
IRIUSRISK
PATRONES DE DISEÑO
MODELADO
S T R I D E
ANÁLISIS
DISEÑO
CODIFICACIÓN
PRUEBAS
IMPLANTACIÓN
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
11. 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES
LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA
JOSÉ CARLOS SANCHO NÚÑEZ 11
Seguridad en el ciclo de vida del software
Seguridad diseño – Otras técnicas
Casos de abuso Árboles de ataque
CORNUCOPIA
SAFECODE
IRIUSRISK
PATRONES DE DISEÑO
MODELADO
CASOS DE ABUSO
ÁRBOLES ATAQUE
ANÁLISIS
DISEÑO
CODIFICACIÓN
PRUEBAS
IMPLANTACIÓN
Prueba de
acceso
Ataque
diccionario
HACKER
Formato
contraseña
Cuenta de
usuario
Ataque por fuerza bruta
Automatizar
ataque
Listado de
usuarios
Listado de
contraseñas
Diccionario
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
12. 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES
LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA
JOSÉ CARLOS SANCHO NÚÑEZ 12
Seguridad en el ciclo de vida del software
Seguridad en la codificación
Buenas prácticas
de codificación
Revisión de
código manual
Revisión de código
automática
CORNUCOPIA
SAFECODE
IRIUSRISK
PATRONES DE DISEÑO
MODELADO
CASOS DE ABUSO
ÁRBOLES ATAQUE
BUENAS PRÁCTICAS
REVISIÓN MANUAL
REVISIÓN AUTOMÁTICA
ANÁLISIS
DISEÑO
CODIFICACIÓN
PRUEBAS
IMPLANTACIÓN
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
13. 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES
LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA
JOSÉ CARLOS SANCHO NÚÑEZ 13
Seguridad en el ciclo de vida del software
Seguridad en las pruebas
Test de penetración Fuzz testing
CORNUCOPIA
SAFECODE
IRIUSRISK
PATRONES DE DISEÑO
MODELADO
CASOS DE ABUSO
ÁRBOLES ATAQUE
BUENAS PRÁCTICAS
REVISIÓN MANUAL
REVISIÓN AUTOMÁTICA
TEST DE PENETRACIÓN
FUZZ TESTING
ANÁLISIS
DISEÑO
CODIFICACIÓN
PRUEBAS
IMPLANTACIÓN
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
14. 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES
LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA
JOSÉ CARLOS SANCHO NÚÑEZ 14
Seguridad en el ciclo de vida del software
Seguridad en la implantación
CORNUCOPIA
SAFECODE
IRIUSRISK
PATRONES DE DISEÑO
MODELADO
CASOS DE ABUSO
ÁRBOLES ATAQUE
BUENAS PRÁCTICAS
REVISIÓN MANUAL
REVISIÓN AUTOMÁTICA
TEST DE PENETRACIÓN
FUZZ TESTING
PLAN DE CONTINGENCIAS
Proceso de implantación y
configuración
Plan de
contingencias
ANÁLISIS
DISEÑO
CODIFICACIÓN
PRUEBAS
IMPLANTACIÓN
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
15. IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO
JOSÉ CARLOS SANCHO NÚÑEZ
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES
15
Modelos de Desarrollo Seguro
ANÁLISIS DE METODOLOGÍAS DE DESARROLLO SEGURO
Casos de
abuso
Guía y
estándares
de desarrollo
seguro
Diagrama de clases
de seguridad
Cumplimiento
y política
Revisión de
funciones complejas
Identificar roles de
usuario y capacidades
de recursos
Usar
herramientas
aprobadas Análisis de las
arquitecturas
Securización
del entorno
Entorno
del software
Identificar recursos y
límites de confianza
Configuración de
seguridad en BD
TSP-
SECURE
ASDL/SDL
MICROSOFT
SAMM
CLASP
OSSA
BSIMM
Formación
Evaluación
y métricas
Definición
de riesgos
Requisitos
de seguridad
Modelado
de amenazas
Revisión diseño
Revisión código
Testing de
seguridad
Validación
de salidas
Plan de
respuesta a
incidentes
• Microsoft SDL
• Agile-SDL
• Oracle Software Security Assurance
• Comprehensive Lightweight Application
Security Process
• Team Software Process Secure
• Software Assurance Maturity Model
• Building Security In Maturity Model Framework
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
16. 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES
LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA
JOSÉ CARLOS SANCHO NÚÑEZ 16
Modelo de Desarrollo Seguro Viewnext-UEx
Preventivo Integrado Flexible Retroalimentado Reutilizable
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
17. 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES
LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA
JOSÉ CARLOS SANCHO NÚÑEZ 17
Puntos fuertes
Herramienta entrenamiento seguro Trazabilidad durante todo el ciclo
REQUISITO DE
SEGURIDAD
AMENAZAS
RIESGOS
BUENAS
PRÁCTICAS
< > ” ’ % ( ) & + /
@ # ¡!¿?
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
18. 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES
LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA
JOSÉ CARLOS SANCHO NÚÑEZ 18
Actividades novedosas del Modelo Viewnext-UEx
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
19. 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES
LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA
JOSÉ CARLOS SANCHO NÚÑEZ 19
Modelo Viewnext-UEx VS otros
Fase/Modelo Microsoft SDL/ASDL OSSA CLASP TSP-Secure SAMM BSIMM Viewnext-UEx
Políticas
Formación
Análisis
Diseño
Implementación
Pruebas
Pre-Release
Post-Release
Métricas
Uso empresarial
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
20. 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES
LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA
JOSÉ CARLOS SANCHO NÚÑEZ 20
Características de un proyecto de software
DISEÑO TÉCNICO
ANÁLISIS FUNCIONAL
PROYECTO
TIPOLOGÍA
METODOLOGÍA
FASE COMIENZO
ÁGIL
TRADICIONAL
MANTENIMIENTO
NUEVO DESARROLLO
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
21. 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES
LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA
JOSÉ CARLOS SANCHO NÚÑEZ 21
Metodología de implantación
Integración actividades del
Modelo Viewnext-UEX
Retrospectiva
y mejora
Evaluación de
seguridad
2 3 4
Formación y
preparación de
ecosistema seguro
1
FORMACIÓN EN PATRONES DE
DÍSEÑO SEGURO (10H)
FORMACIÓN EN CODIFICACIÓN
SEGURA (20 H)
VALIDACIÓN DE REQUISITOS
MODELADO DE AMENAZAS
REVISIÓN DE DISEÑO
REVISIÓN DE CODIFICACIÓN
TESTING DE SEGURIDAD
VALIDACIÓN DE SALIDAS
FORMACIÓN EN ANÁLISIS DE
SEGURIDAD (10H)
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
22. 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES
LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA
JOSÉ CARLOS SANCHO NÚÑEZ 22
Indicadores: seguridad y productividad
VULNERABILIDAD CRITICIDAD CATEGORÍA
Val. entradas
Gestión sesiones
Control de Acceso
Autorización
Errores
Arquitectura
Configuración
Protección datos
Etc.
Informativa [0]
Baja [0.1-3.9]
Media [4.0-6.9]
Alta [7.0-8.9]
Crítica [9.0-10]
Arquitectura
Desarrollo
SEGURIDAD PRODUCTIVIDAD
FASE UNIDAD
Gestión
Análisis y diseño
Codificación
Pruebas
Evaluación
Resolución de fallos
Desarrollo total
Horas
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
23. IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO
JOSÉ CARLOS SANCHO NÚÑEZ
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES
23
Aplicación experimental: empresa y proyecto
Nuevos Desarrollos
Compañía eléctrica
Tamaño del Equipo
+/- 15 desarrolladores
Equipo multifuncional
Metodología Ágil Cliente proactivo
Caso de
estudio
Criticidad crítica
Incluido el análisis
Salvo el testing de seguridad
SCRUM – sprint mensual Interesado en mejorar
Características del proyecto MÓDULO 1 MÓDULO 2
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
24. IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO
JOSÉ CARLOS SANCHO NÚÑEZ
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES
24
Aplicación experimental: escenarios
Gestión Análisis y diseño Codificación Pruebas
Evaluación de
seguridad
Resolución
de fallos
Desarrollo del
software
1 2 3
Gestión Análisis y diseño Codificación Pruebas
Evaluación de
seguridad
Resolución
de fallos
Desarrollo del software con
modelo Viewnext-UEx
1 2 3
Implantación modelo
Viewnext-UEx
0
Formación Ecosistema
PREVENTIVO
REACTIVO
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
25. IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO
JOSÉ CARLOS SANCHO NÚÑEZ
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES
25
Métricas de productividad
1- Desarrollo del software 2- Auditoría 3- Corrección de fallos
Evaluación
Gestión Análisis y diseño Codificación Pruebas Resolución de fallos de seguridad
%
tiempo
empleado
SOLO EN EL PREVENTIVO
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
26. IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO
JOSÉ CARLOS SANCHO NÚÑEZ
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES
26
Escenario reactivo: resultados seguridad
19 VULNERABILIDADES
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
27. IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO
JOSÉ CARLOS SANCHO NÚÑEZ
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES
27
Escenario reactivo: resultados productividad
1- Desarrollo del software 2- Auditoría de
seguridad
3- Resolución de
vulnerabilidades
Evaluación
Gestión Análisis y diseño Codificación Pruebas Resolución de fallos de seguridad
4,4 %
22,2%
53,3 %
8,9 %
2,7 %
8,5 %
%
tiempo
empleado 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
28. IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO
JOSÉ CARLOS SANCHO NÚÑEZ
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES
28
Escenario preventivo: resultados seguridad
6 VULNERABILIDADES
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
29. IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO
JOSÉ CARLOS SANCHO NÚÑEZ
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES
29
Escenario preventivo: resultados productividad
1- Desarrollo del software 2- Auditoría de
seguridad
3- Resolución de
vulnerabilidades
Evaluación
Gestión Análisis y diseño Codificación Pruebas Resolución de fallos de seguridad
6,3 %
30,6 %
50,9%
7,8 %
3,1 1,3
%
tiempo
empleado
0,13 %
3,5 %
2,6 %
1 %
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
30. IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO
JOSÉ CARLOS SANCHO NÚÑEZ
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES
30
Comparativa de vulnerabilidades
TIPO VULNERABILIDAD CRITICIDAD CATEGORÍA REACTIVO PREVENTIVO
Validación de
entradas
Stored Cross Site Scripting Crítica [9-10] Desarrollo X
Reflected Cross Site Scripting Alta [7-8.9] Desarrollo X
Base de datos accesible Baja [0.1-3.9] Desarrollo X X
Atributo autocomplete no inhabilitado Baja [0.1-3.9] Desarrollo X
Cambio de peticiones POST por GET Alta [7-8.9] Arquitectura X
Directiva POST con parámetros no validados Alta [7-8.9] Desarrollo X
Autorización
Escalada de privilegios funcional Alta [7-8.9] Desarrollo X
Escalada de privilegios por URL Alta [7-8.9] Desarrollo X
Gestión de
sesiones
Identificador de sesión desprotegido Alta [7-8.9] Arquitectura X
Cierre de sesión no implementado
correctamente
Media [4.0-6.9] Arquitectura X
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
31. IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO
JOSÉ CARLOS SANCHO NÚÑEZ
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES
31
Comparativa de vulnerabilidades
TIPO VULNERABILIDAD CRITICIDAD CATEGORÍA REACTIVO PREVENTIVO
Manipulación
de errores y
logs
Información sensible del aplicativo y uso de
componentes vulnerables
Media [4.0-6.9] Arquitectura X
Información sensible en los metadatos Baja [0.1-3.9] Arquitectura X
Información sensible en el código fuente Media [4.0-6.9] Arquitectura X
Gestión de la
configuración
Página del servidor por defecto Baja [0.1-3.9] Arquitectura X
Aplicativo en HTTP en lugar de HTTPS Alta [7-8.9] Arquitectura X
Phising a través marcos Alta [7-8.9] Arquitectura X
Inyección de enlaces Alta [7-8.9] Arquitectura X
Certificados SSL débiles Alta [7-8.9] Arquitectura X
Servicios y puertos habilitados
indebidamente
Alta [7-8.9] Arquitectura X
Respuesta de TCP timestamp Baja [0.1-3.9] Arquitectura X X
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
32. IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO
JOSÉ CARLOS SANCHO NÚÑEZ
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES
32
Comparativa de resultados: seguridad
Críticas Altas Medias Bajas
Reactivo 1 9 3 6
Preventivo 0 3 1 2
0
1
2
3
4
5
6
7
8
9
10
Número
de
vulnerabilidades
PREVENTIVO
REACTIVO
VULNERABILIDADES
19
6 68%
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
33. IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO
JOSÉ CARLOS SANCHO NÚÑEZ
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES
33
Comparativa de resultados: productividad
Gestión Análisis y diseño Codificación Pruebas Evaluación
Corrección de
vulnerabilidades
Reactivo 4,4 22,2 53,3 8,9 2,7 8,5
Preventivo 6,3 30,6 50,9 7,8 3,1 1,3
0
10
20
30
40
50
60
%
tiempo
empleado
1- Desarrollo del software 2- Auditoría de
seguridad
3- Resolución de
vulnerabilidades
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
34. IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO
JOSÉ CARLOS SANCHO NÚÑEZ
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES
34
Conclusiones I
La aplicación del modelo Viewnext-UEx con enfoque preventivo:
Ø Reduce drásticamente la aparición de vulnerabilidades.
Ø Reduce la criticidad de las vulnerabilidades identificadas.
Ø Minimiza el tiempo de la resolución de los fallos de seguridad.
La aplicación de metodologías reactivas:
Ø Genera un mayor número de vulnerabilidades.
Ø Las vulnerabilidades que se identifican tienen criticidades altas.
Ø Producen un alto impacto en la resolución de los fallos de seguridad.
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
35. IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO
JOSÉ CARLOS SANCHO NÚÑEZ
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES
35
Conclusiones I
El modelo Viewnext-UEx que se propone:
Ø Incorpora prácticas de seguridad de manera sistemática y planificada.
Ø Se ha implantado en proyectos de software reales.
Ø Conduce a una mejora en los aspectos de seguridad y optimización
en los tiempos de desarrollo del ciclo de vida del software.
Ø Puede ser implantado por cualquier empresa del sector.
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
36. IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO
JOSÉ CARLOS SANCHO NÚÑEZ
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES
36
Líneas futuras
Implantar el modelo en un
número considerable de
proyectos
Adaptar el modelo
Viewnext-UEx al enfoque
SecDevOps
DEV OPS
SEC
LIBERACIÓN DE
SOFTWARE
ACTUALIZACIONES
FIABLIDAD
RENDIMIENTO
ESCALABILIDAD
CONFIDENCIALIDAD
DISPONIBILIDAD
INTEGRIDAD
SEC
DEV
OPS
PHP
C++
JAVA
HTML
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
37. IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO
JOSÉ CARLOS SANCHO NÚÑEZ
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES
37
Publicaciones muy relevantes
José Carlos Sancho Núñez, Andrés Caro Lindo and Pablo García Rodríguez. A Preventive
Secure Software Development Model for a software factory: a case study. IEEE Access. 8
(1):77653–77665.April 2020. DOI: 10.1109/access.2020.2989113.
(Impact Factor = 3.745 - Q1 )
José Carlos Sancho Núñez, Andrés Caro Lindo, Mar Ávila Vegas and Alberto Bravo
Gómez. New approach for threat classification and security risk estimations based on security
event management. Future Generation Computer Systems. 113:488–505. December 2020.
DOI: 10.1016/j.future.2020.07.015.
(Impact Factor = 6.125 - Q1 )
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
38. José Carlos Sancho Núñez
(jcsanchon@unex.es)
Profesor Universidad de Extremadura e
Investigador Cátedra Viewnext-UEx
02/12/2021
La Seguridad en el Desarrollo de
Software implementada de forma
Preventiva