domingo, 9 de agosto de 2009 1 comentarios

Cerrado por vacaciones

Pues eso, que ya toca desconectar un poco y descansar para prepararse para el otoño que se presenta interesante.



Hasta el 30 de agosto, el blog estará cerrado por vacaciones, aunque más que cerrado está "incubando" cosas para la vuelta.
miércoles, 5 de agosto de 2009 4 comentarios

Metodología para el desarrollo de software seguro (BSIMM)

El tema de mejorar la seguridad del software lleva años tratando de solucionarse. Cada fabricante ha establecido sus propias metodologías con el objetivo de garantizar que las aplicaciones son creadas con criterios de seguridad desde el diseño, para evitar en la medida de lo posible la aparición de vulnerabilidades.
Y no es sólo un tema de hacer las cosas bien desde el principio. Es un tema de costes. Siempre solucionar los problemas a posteriori es más caro que a priori, en el diseño. En el mundo del software vale más diseñar y pensar bien las cosas antes de lanzarlas al mercado que una vez que las aplicaciones ya se han comercializado como se describe en el estudio realizado en este artículo.



Los beneficios de esta estrategia de la seguridad son claros. Valga como ejemplo la metodología SDLC que Microsoft lleva utilizando desde que se inició la Trustworthy Computing que tan buenos resultados les está dando, como demuestran las gráficas de sus informes del Microsoft Security Intelligence Report (SIR).



Además es ya una tendencia que las aplicaciones maliciosas estén trasladando sus ataques contra las aplicaciones, dado que los sistemas operativos cada vez les presentan más resistencia y se actualizan más a menudo.

Ahora, un grupo de expertos han decidido unificar las metodologías de desarrollo que están utilizando empresas como Google, EMC, Microsoft, QUALCOMM o Adobe.

El resultado es "the Building Security In Maturity Model (BSIMM)" elaborado por Gary McGraw, Brian Chess (Fortify), and Sammy Migues, y que está liberado bajo licencia creative commons en http://bsi-mm.com.

Este marco divide las fases de desarrollo en doce partes y podéis navegar por el modelo a través del siguiente enlace.

Es quizás otro ejemplo más de cómo aplicando las enseñanzas de Sun Tzu y su famoso libro "El arte de la guerra", se puede lograr mejorar la seguridad. Como resumen valga recordar la famosa frase "Si eres ignorante de tu enemigo y de ti mismo, puedes estar seguro de ser derrotado en cada batalla. Si eres ignorante de tu enemigo pero te conoces a ti mismo, tus oportunidades de ganar o perder son las mismas. Conoce a tu enemigo y conócete a ti mismo; en cien batallas, nunca saldrás derrotado."
 
;