Principales Fallos en el Ciclo de Vida del Desarrollo de Software (SDLC)

Clasificado en Informática

Escrito el en español con un tamaño de 3,04 KB

Los errores más comunes en el SDLC (Software Development Life Cycle) son:

  1. Validación de entrada y representación: Causada por una entrada maliciosa. Toda entrada debe ser sanitizada y validada. Vulnerabilidades comunes incluyen: "Buffer Overflow", "SQL Injection", "Cross-Site Scripting", etc.
  2. Abuso de API: Causado por una violación del contrato entre quien realiza la petición y quien responde. Puede causar "Directory Restriction", "Unchecked Return Value", etc.
  3. Características de seguridad: La seguridad del software no es un software de seguridad en sí mismo. Se pueden tener controles de seguridad, pero esto no asegura que nuestro software no sea vulnerable.
  4. Tiempo y estado: En los sistemas actuales, dos eventos pueden tener lugar al mismo tiempo. Los eventos ocupan variables, memoria, etc. Si no se controlan estos eventos, podrían ser aprovechados para explotar los equipos.
  5. Errores: Los errores no controlados correctamente pueden ser aprovechados como pivotes para un atacante o, si se crean errores que brinden información, pueden ser de utilidad para el desarrollo del software.
  6. Calidad del código: Una baja calidad en el código puede ser aprovechada por un atacante para comprometer el sistema.
  7. Encapsulación: Se deben crear límites fuertes. Si no se encapsula correctamente la información, puede significar un riesgo para la seguridad y la privacidad.
  8. Ambiente: Incluye todo lo que está fuera de nuestro código.

Los errores más comunes en desarrollo de código se engloban bajo la denominación Enumeración de Errores Comunes o CWE (Common Weakness Enumeration).

Retos en el Análisis de Código y Detección de Vulnerabilidades

El análisis de código y la detección de vulnerabilidades conllevan los siguientes retos:

  • Complejidad: Diferentes lenguajes de programación interactuando y la gran cantidad de líneas de código.
  • Extensibilidad: La variedad de diferentes arquitecturas de hardware, diferentes sistemas operativos y parches.
  • Conectividad: El "Ciberespacio" no lo podemos controlar y si no realizamos un correcto análisis a nuestro código e infraestructura de nuestro producto, conllevará a un riesgo en la seguridad.

10 Consejos de Diseño Seguro

  1. Ningún componente es fiable hasta demostrar lo contrario.
  2. Delinear mecanismos de autenticación difíciles de eludir.
  3. Autorizar, además de autenticar.
  4. Separar datos de instrucciones de control.
  5. Validar todos los datos explícitamente.
  6. Utilizar criptografía correctamente.
  7. Identificar datos sensibles y cómo se los debería gestionar.
  8. Considerar siempre a los usuarios del sistema.
  9. La integración de componentes cambia la superficie de ataque.
  10. Considerar cambios futuros en objetos y actores.
Karma: 8%
Visitas: 0

Entradas relacionadas:

Etiquetas:
vulnerabilidades encapsulación análisis de código CWE validación de entrada SDLC API Software Development Life Cycle diseño seguro calidad del código ciberseguridad seguridad informática desarrollo de software seguro