Prácticas de código seguro
La programación o desarrollo de software se compone de varios procesos importantes. El primero y uno de los más importantes es el llamado “las reglas del negocio”, el cual consiste en entender qué necesita hacer el software o los servicios que debe proporcionar.
También, los programadores deben mantener los datos de los sistemas o aplicaciones de forma confidencial, íntegra y viablesiempre que lo requiera la empresa (OWASP, OWASP, 2010).
Por último, los desarrolladores deben proporcionar seguridad a los productos finales por dos razones; primero, es menos costosoconstruir software seguro que corregir errores de seguridad una vez entregado el producto; segundo, se busca reducir los riesgos provenientes de agentes externos que buscan puntos débiles dentro de las aplicaciones, con el fin de causar un gran daño a las empresas u organizaciones (OWASP, The Open Web Application Security Project, 2005).
La organización mundial no lucrativa Open Web Application Security Project (OWASP) está enfocada en mejorar la seguridad del software (OWASP, Welcome to OWASP, 2017). Esta organización ha propuesto las prácticas de código seguro, que son lineamientos a seguir en el proceso de desarrollo de softwarepara ayudar a resolver problemas de vulnerabilidades en forma de listas (checklist), Dichas listas cubren los siguientes aspectos (OWASP, The Open Web Application Security Project, 2005):
- Validación de entrada de datos.
- Codificación de salida de información.
- Autenticación y administración de claves de acceso (passwords).
- Manejo de sesiones.
- Control de acceso.
- Prácticas criptográficas.
- Manejo de errores e iniciar sesión (Logging).
- Protección a datos.
- Seguridad en comunicaciones.
- Configuración del sistema.
- Seguridad en base de datos.
- Administración de archivos.
- Administración de memoria.
- Prácticas de codificación general.
Referencias
OWASP. (2005 de Julio de 2005). The Open Web Application Security Project. Obtenido de Una Guía para Construir Aplicaciones y Servicios Web Seguros: www.owasp.org
OWASP. (2010). OWASP. Obtenido de ecure Coding Practices Quick Reference Guide : https://www.owasp.org/images/0/08/OWASP_SCP_Quick_Reference_Guide_v2.pdf
OWASP. (13 de Marzo de 2017). Welcome to OWASP. Obtenido de https://www.owasp.org/index.php/Main_Page
Sommerville, I. (2011). Ingeniería de software. México: Pearson.
USA, A. (2010). Keith Turpin: The Secure Coding Practices Quick Reference Guide. Obtenido de vimeo: https://vimeo.com/17018329