Cómo mejorar las relaciones entre los desarrolladores y los equipos de seguridad y aumentar la seguridad de las aplicaciones

Chris Wysopal compartió una lección de historia sobre la evolución de la seguridad de las aplicaciones y consejos sobre cómo hacer que todas las aplicaciones sean más seguras.

 audiencia del congreso de chris wysopal 1998

El director de tecnología de Veracode, Chris Wysopal, compartió los aspectos más destacados de su carrera en seguridad de aplicaciones durante un evento de OWASP, incluido su testimonio de 1998 ante el Congreso como miembro del colectivo de piratería The L0ft.

Imagen: Chris Wysopal

En diciembre de 1996, el experto en seguridad de aplicaciones Chris Wysopal publicó su primer informe de vulnerabilidad. Descubrió que los datos se podían editar o eliminar en Lotus Domino 1.5 si los permisos no se configuraban correctamente o si se editaban las URL. Ese riesgo de seguridad, control de acceso roto, es el riesgo número uno en la lista de los 10 principales de 2021 de OWASP de riesgos de seguridad de aplicaciones.

“Conocemos muy bien este problema y el conocimiento sobre el problema no resuelve el problema”, dijo.

Wysopal, que es el CTO y cofundador de Veracode, compartió una breve historia de su tiempo como investigador de seguridad de aplicaciones, desde su tiempo con The L0ft hacker colectivo hasta testificar frente al Congreso para haciendo consultoría de seguridad con Microsoft a principios de la década de 2000. Wysopal habló durante un discurso de apertura en el evento del 20 aniversario de OWASP un evento gratuito, en vivo y de 24 horas que se llevó a cabo el viernes.

Wysopal dijo que comenzó como un forastero en el mundo de la tecnología, lo que le dio una perspectiva única para señalar problemas que los ingenieros de software, los líderes de la empresa y los funcionarios gubernamentales no veían. Durante los últimos 25 años, los investigadores de appsec han pasado de ser críticos desde afuera mirando hacia adentro a colegas profesionales que trabajan con ingenieros de software para mejorar la seguridad.

VER: Cómo los equipos de DevOps están asumiendo un papel más importante

“Como dijo William Gibson, 'El futuro está distribuido de manera desigual y creo que podemos aprender del pasado y aprender de los que ya viven en el futuro”, dijo.

Compartió consejos sobre cómo construir relaciones de trabajo más estrechas entre desarrolladores y expertos en seguridad, así como sobre cómo la profesión de appsec ha evolucionado a lo largo de los años.

Estableciendo relaciones para mejorar la seguridad

Wysopal dijo que ve la última evolución de appsec como expertos en seguridad que se convierten en miembros oficiales del equipo de desarrollo de software.

“El éxito es ser parte de un equipo que envía código seguro a tiempo, trabajando para mejorar continuamente el proceso y haciendo menos trabajo para obtener el mismo resultado seguro”, dijo.

Wysopal dijo que las relaciones sólidas entre los dos equipos son otra clave para hacer que appsec funcione. Los desarrolladores individuales y los miembros del equipo de seguridad deben considerar estas preguntas y encontrar las respuestas:

  • ¿Quién es su par en desarrollo o seguridad?
  • ¿Se reúne con ellos?
  • ¿Entienden los objetivos de los demás?
  • ¿Simpatizan con las luchas de los demás?

Otra clave del éxito es garantizar la responsabilidad compartida entre los grupos de ingeniería de software y de seguridad:

  • ¿Cómo podemos establecer el objetivo común de enviar software seguro a tiempo?
  • ¿Qué puede hacer el equipo de seguridad para asegurarse de que el equipo de desarrollo no tenga que reducir la velocidad?
  • ¿Qué puede hacer el equipo de desarrollo para ayudar al equipo de seguridad a realizar pruebas más rápido?

“Además, esta responsabilidad tiene que ser medida y reportada”, dijo.

 wysopal-flawclosuretime-01.jpg

Imagen: Chris Wysopal

Wysopal dijo que algunas aplicaciones, por su propia naturaleza, son más difíciles de proteger que otras. Su equipo considera tanto la naturaleza como el desarrollo de cada aplicación cuando trabaja para mejorar la seguridad.

El entorno ideal para aplicaciones que son fáciles de proteger tiene este aspecto:

  • Organización pequeña
  • Aplicación pequeña
  • Baja densidad de fallas
  • Nueva aplicación

Es más difícil proteger aplicaciones más antiguas y grandes con altas densidades de fallas creadas en grandes empresas, dijo Wysopal.

En términos de fomentar aplicaciones seguras, los equipos de desarrollo utilizan análisis frecuentes y una variedad de tipos de análisis. El escaneo estático y poco frecuente dificulta la mejora de la seguridad de las aplicaciones.

 wysopal-flawclosuretime-02.jpg

El director de tecnología de Veracode, Chris Wysopal, presentó este cuadro durante su discurso de apertura para ilustrar la cantidad de tiempo que se necesita para resolver una falla de software según el tipo de entorno en el que existe una aplicación.

Imagen: Chris Wysopal

Wysopal también compartió algunos consejos sobre cómo las prácticas cambiantes de seguridad pueden mejorar appsec, independientemente de si una aplicación es fácil o difícil de proteger. En un buen entorno, las mejores prácticas de seguridad pueden reducir la vida media de una vulnerabilidad de 25 a 13 días. En un entorno menos que ideal, la mejora de las prácticas de seguridad puede reducir la vida media de una vulnerabilidad en más de cuatro meses.

La evolución de appsec

Después de publicar su primer informe de vulnerabilidad, Lotus reconoció el problema en su página de inicio, explicó cómo lo solucionaron, le dio crédito por encontrar el problema y le agradeció por hacer entonces, dijo Wysopal.

“Había una nueva sensación de que algunos desarrolladores realmente apreciaban la investigación de vulnerabilidades incluso en 1996, y nos hizo empezar a pensar que tal vez deberíamos hablar con los desarrolladores”, dijo.

Él y su compañero hacker Mudge (Peiter Zatko) comenzaron a hablar con empresas de software, incluida Microsoft, sobre la investigación de vulnerabilidades. En mayo de 1998, él y sus colegas de L0ft testificaron en una audiencia del Congreso, “Débil seguridad informática en el gobierno”.

“Esto despertó al mundo que la industria y el gobierno necesitan trabajar con investigadores de vulnerabilidades”, dijo.

Luego, en noviembre de 2001, Wysopal recibió un correo electrónico sobre el lanzamiento de OWASP. La siguiente fase fue trabajar con ingenieros de Microsoft y el siguiente desafío fue pasar de ser un crítico externo a colaborar con los desarrolladores.

Las primeras herramientas se crearon para investigadores de appsec, no para desarrolladores, y eso significaba que los desarrolladores no usaban esas herramientas para mejorar la seguridad, dijo Wysopal.

Los equipos de Appsec necesitaban hacer más que simplemente encontrar fallas porque ese enfoque enfurecía a los desarrolladores y detenía el progreso.

“Teníamos que andar con cuidado o no se arreglaría nada”, dijo. “Este enfoque podría haber sido un paso atrás en los primeros días de la automatización”.

El enfoque luego cambió a solucionar problemas con énfasis en la capacitación, reparaciones de muestras y bibliotecas seguras, dijo. Este fue el comienzo de la aplicación moderna.

“Una de las mejores cosas que le ha sucedido a appsec son los procesos que cambian a ágiles y
DevOps

“, dijo.” Esta fue realmente una función forzada para modernizar el funcionamiento de appsec “.

Consulte también


Source link

Be part of our affiliated companies and receive a 20% discount.
www.onevirtualoffice.com
www.be1radio.com
www.rmcommunik.com
www.beonegroup.ca

Need Help?
Let our experienced staff help with virtual helpdesk. click for details.

Services:
– Laptop and Desktop Repair
– Virus and Malware Removal
– Computer Tune-up
– Remote Assistance
– Data Backup
– Data Recovery
– File Transfer and Sharing
– Hardware Diagnostics
– Antivirus Installation
– Software Installation
– Hardware Upgrades
– New System Setup
– Printer Troubleshooting
-Webmaster,hosting,Logo , Graphic design
-Social media Management
– Networking
– Install Windows Operating System (10, 8, 7, Vista and XP)

Business & Residential Toll Free: 1-800-432-1475 | Direct: (438)488-3296

About rasco

Be Happy the future is friendly.
Allrights Reserved 2007-2018 - Beone Magazine - powered by rasco