Post on 02-Mar-2015
The OWASP Foundationhttp://www.owasp.org
OWASP Uruguay Chapter
Seguridad en el Ciclo de Vida de Desarrollo
Mauro Flores OWASP Global Industry Committee
OWASP Uruguay Chapter Leadermauro.flores@owasp.org
@mauro_fcib
AgendaAgenda
• Introducción al OWASP
•Seguridad en el SDLC
OWASP ??!!!!!OWASP ??!!!!!
OWASP -Open Web Application Application Security Project
•Comunidad abierta y sin fines de lucro
•Organización de voluntarios
•Soportada a través de patrocinios
•Promueve el desarrollo de software seguro de aplicaciones
OWASP ??!!!!!OWASP ??!!!!!
•Proporcionar recursos gratuitos para la comunidad
•Becas pasa el desarrollo de nuevos proyectos
Posibilidad de utilizar las herramientas y colaboradores disponibles para generar nuevos proyectos
•Becas de Investigación
OWASP otorga becas a investigadores de la seguridad en aplicaciones para desarrollar herramientas, guías, publicaciones, etc.
LicenciasLicencias
Approach == “OPEN”Approach == “OPEN”
Todos los documentos, estándares y herramientas se Todos los documentos, estándares y herramientas se distribuyen en base a licencias open-sourcedistribuyen en base a licencias open-source
GFDLGFDL
GPL GPL
BSD License BSD License
Creative CommonsCreative Commons
CapítulosCapítulos
OWASP OWASP ……
OWASP PCI ProjectOWASP PCI Project
OWASP Mobile Security ProjectOWASP Mobile Security Project
OWASP Cloud Security OWASP Cloud Security
Seguridad en el SDLCSeguridad en el SDLC
SDLCSDLCMetodologías para la incorporación de la seguridad en el Metodologías para la incorporación de la seguridad en el SDLCSDLC
•Comprehesive, Lightweight Application Security Process (CLASP)
•Software Assurance Maturity Model (SAMM)
CLASPCLASPOrganizaciónOrganización::
• 5 Vistas
• 7 roles asociados al SDLC
• Gerente de Proyecto
• Arquitecto
• Especificador de Requerimientos
• Diseñador
• Implementador (equipos de desarrollo)
• Tester
• Auditor de Seguridad
• 24 Actividades a desarrollar
• 104 fallas de seguridad agrupadas en 5 categorías
CLASPCLASPConcepts View(I)
Milestone: Understand how CLASP process components interact and how to apply II through V.
Role-Based View (II)Milestone: Create roles required by security-related project and utilize them in III, IV and V
Activity-Implementation View (IV)Milestone: Perform subset of 24 security-related CLASP activities selected in III
Activity-Assessment View (III)Milestone: Assess 24 security-related CLASP activities for suitability in IV
Implementation Costs Activity Applicability
Risk of Inaction
Risk Assessment
Vulnerability View (V)Milestone: Integrate solutions to problem types into III and IV
Consequences of unresolved Vulnerabilities
Problem Types 104 problems types are sub-sumed under 5 high-level Categories
Exposures Periods(by SDLC phases)
Avoidance & Mitigation Techniques
A & M Periods (by SDLC phases)
Defino cuales de los 7 roles participarán de mi proyecto
Defino cuales de las 24 actividades ejecutaré
CLASPCLASP
OpenSAMMOpenSAMMLos recursos de SAMM ayudarán a:Los recursos de SAMM ayudarán a:
• Evaluar las prácticas de seguridad existentes
• Construir un programa de seguridad en iteraciones bien definidas
• Demostrar mejoras concretas en el aseguramiento de Software
• Definir y medir las actividades relacionadas con seguridad
OpenSAMMOpenSAMM
Funciones de Negocio
OpenSAMMOpenSAMM
OpenSAMMOpenSAMM
OpenSAMMOpenSAMMPor cada nivel SAMM define:Por cada nivel SAMM define:
• Objetivos
• Actividades
• Resultados
• Umbrales de satisfacción
• Coste
• Personal
• Niveles relacionados
OWASP == ‘Secure SDLC’OWASP == ‘Secure SDLC’
PlanPlan ConstruirConstruir TestTest ImplementarImplementar
Testing deSeguridad
WAF/XMLfirewalls
Análisis deRiesgo
Revisión deCódigo
Política Concientización Entrenamiento
Controles
Controles
ASVS Top 10 ZAP
OWASPSwingset
Testing Guide
Code reviewGuide
Mantra
OWASP
ESAPI
ESAPIWAF
ZAPCode Crawler
SDLC
Establecer requerimientos de Seguridad
Prácticas de desarrollo Seguro
Validar requerimientos de seguridad
Mauro FloresOWASP Uruguay Chapter LeaderOWASP Global Industry Committeemauro.flores@owasp.orgTwitter: @mauro_fcib