martes, 18 de noviembre de 2008

El ciclo de desarrollo seguro del software (SDLC)

Desde hace unos días y con lo agitado del mundillo informático por el tema de mañana, la manifestación 19-N, parece que está llegando el momento de "tirar de la manta" y destapar los trapos sucios que deja la industria del software y su ausencia de regulación.

No quiero defender en ningún momento la "titulitis", pero hay una evidencia clara que todos los días pagamos caro, el software es inseguro. No voy a entrar en profundizar mucho sobre las causas dado que otros blogs amigos ya lo han hecho con gran calidad (Security at Work) y profundidad (Hispasec).

Mi aportación viene más a contar la R-(evolución) de Microsoft en este tema. Ni que decir tiene que saben de lo que hablan. Han pasado de conocerse a sí mismos a intentar conocer a su enemigo (siguiendo la filosofía de Sun Tzu). Y ahora, fruto de ese esfuerzo y de la madurez de su estrategia para robustecer el software, van a la raíz del asunto: las metodologías del desarrollo software.

Esta r-(evolución) no es nueva: lleva ya algunos años en marcha y Vista creo que es el primer producto con este enfoque desde su nacimiento. Pero no contentos con eso, explican al resto cómo deben hacerse las cosas.
Para quien no tenga claro de que va esto, recomiendo ver este video What is Microsoft Application Threat Modeling?
Los resultados de este proceso son un conjunto de requisitos de seguridad necesarios para lograr que la aplicación sea robusta. En este video se pueden consultar los resultados de usar esta herramienta.

Como habréis podido observar quienes hayáis visto los videos, ¡Esto sí es SEGURIDAD en el DISEÑO de la solución SOFTWARE!.

Para quien tenga más hambre de conocimientos, puede saciar su sed en Microsoft Application Threat Modeling. También es destacable que todo este material es de acceso libre y que no cabe duda que es una gran contribución al mundo de la Ingeniería del Software.
La herramienta puede ser descargada en Microsoft Threat Analysis & Modeling v2.1.2
 
;