La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

The OWASP Foundation OWASP Uruguay Chapter Seguridad en el Ciclo de Vida de Desarrollo Mauro Flores OWASP Global Industry Committee.

Presentaciones similares


Presentación del tema: "The OWASP Foundation OWASP Uruguay Chapter Seguridad en el Ciclo de Vida de Desarrollo Mauro Flores OWASP Global Industry Committee."— Transcripción de la presentación:

1 The OWASP Foundation OWASP Uruguay Chapter Seguridad en el Ciclo de Vida de Desarrollo Mauro Flores OWASP Global Industry Committee OWASP Uruguay Chapter

2 Agenda Introducción al OWASP Seguridad en el SDLC

3 OWASP ??!!!!! OWASP -Open Web Application Application Security Project Comunidad abierta y sin fines de lucro Organización de voluntarios Soportada a través de patrocinios Promueve el desarrollo de software seguro de aplicaciones

4 OWASP ??!!!!! Proporcionar recursos gratuitos para la comunidad Becas pasa el desarrollo de nuevos proyectos Posibilidad de utilizar las herramientas y colaboradores disponibles para generar nuevos proyectos Becas de Investigación OWASP otorga becas a investigadores de la seguridad en aplicaciones para desarrollar herramientas, guías, publicaciones, etc.

5 Licencias Approach == OPEN Todos los documentos, estándares y herramientas se distribuyen en base a licencias open-source GFDLGPL BSD License Creative Commons

6 Capítulos

7 OWASP … OWASP PCI Project OWASP Mobile Security Project OWASP Cloud Security

8 Portal OWASP Wiki :

9 Seguridad en el SDLC

10 SDLC Metodologías para la incorporación de la seguridad en el SDLC Comprehesive, Lightweight Application Security Process (CLASP) Software Assurance Maturity Model (SAMM)

11 CLASP Organización : 5 Vistas 7 roles asociados al SDLC Gerente de Proyecto Arquitecto Especificador de Requerimientos Diseñador Implementador (equipos de desarrollo) Tester Auditor de Seguridad 24 Actividades a desarrollar 104 fallas de seguridad agrupadas en 5 categorías

12 CLASP Concepts View(I) Milestone: Understand how CLASP process components interact and how to apply II through V. Role-Based View (II) Milestone: Create roles required by security-related project and utilize them in III, IV and V Activity-Implementation View (IV) Milestone: Perform subset of 24 security-related CLASP activities selected in III Activity-Assessment View (III) Milestone: Assess 24 security-related CLASP activities for suitability in IV Implementation Costs Activity Applicability Risk of Inaction Risk Assessment Vulnerability View (V) Milestone: Integrate solutions to problem types into III and IV Consequences of unresolved Vulnerabilities Problem Types 104 problems types are sub- sumed under 5 high-level Categories Exposures Periods (by SDLC phases) Avoidance & Mitigation Techniques A & M Periods (by SDLC phases) Defino cuales de los 7 roles participarán de mi proyecto Defino cuales de las 24 actividades ejecutaré

13 CLASP

14 OpenSAMM Los recursos de SAMM ayudarán a: Evaluar las prácticas de seguridad existentes Construir un programa de seguridad en iteraciones bien definidas Demostrar mejoras concretas en el aseguramiento de Software Definir y medir las actividades relacionadas con seguridad

15 OpenSAMM Funciones de Negocio

16 OpenSAMM

17 OpenSAMM

18 OpenSAMM Por cada nivel SAMM define: Objetivos Actividades Resultados Umbrales de satisfacción Coste Personal Niveles relacionados

19 OWASP == Secure SDLC Plan Construir Test Implementar Testing de Seguridad Testing de Seguridad WAF/XML firewalls WAF/XML firewalls Análisis de Riesgo Análisis de Riesgo Revisión de Código Revisión de Código PolíticaConcientización Entrenamiento Controles ASVS Top 10 ZAP OWASP Swingset Testing Guide Testing Guide Code review Guide Code review Guide Mantra OWASP ESAPI WAF ESAPI WAF ZAP Code Crawler SDLC Establecer requerimientos de Seguridad Prácticas de desarrollo Seguro Validar requerimientos de seguridad

20 Mauro Flores OWASP Uruguay Chapter Leader OWASP Global Industry Committee


Descargar ppt "The OWASP Foundation OWASP Uruguay Chapter Seguridad en el Ciclo de Vida de Desarrollo Mauro Flores OWASP Global Industry Committee."

Presentaciones similares


Anuncios Google