Llegamos a ustedes gracias a:



Noticias

Informe del SAFECode resalta las mejores prácticas

[15/06/2010] Un nuevo informe del Foro de Seguridad del Software para la Excelencia en el Código (SAFECode o Software Assurance Forum for Excellence in Code) arroja nuevas luces sobre cómo los proveedores están tratando de trabajar con códigos más seguros dentro del proceso de desarrollo de productos.

Los fabricantes que contribuyen al informe son miembros del SAFECode que han tenido cierto éxito en la reducción de la frecuencia de ataques contra su tecnología, incluyendo a EMC, Juniper Networks, SAP y Microsoft. Sin embargo, la organización también incluye a empresas cuyo camino todavía es cuesta arriba, entre las cuales destaca Adobe Systems.
A pesar de sus esfuerzos para elaborar software más férreo, Adobe ha sido fuertemente criticado por el número de vulnerabilidades que los atacantes han sido capaces de explotar. En una reciente entrevista con el CSO, Brad Arkin, el jefe de seguridad de Adob, admitió que la empresa tiene mucho trabajo por hacer, pero que parte del problema es la amplia superficie de ataque que conlleva una tecnología que casi todo el mundo utiliza.
En una entrevista con CSO la semana pasada, el director ejecutivo de SAFECode, Paul Kurtz, reconoció que es imposible alcanzar un código 100% seguro, y que las empresas siempre lidiarán con algún nivel de vulnerabilidad. Pero, señaló, el nuevo informe ofrece al menos una hoja de ruta de ejemplos que otras compañías pueden utilizar para establecer sus propios procesos de mejores desarrollo a los que tienen ahora.
"La seguridad de software generalmente es abordada en términos de ingeniería de seguridad, o en otras palabras, se trata de la construcción de la seguridad en el software a medida que éste se va desarrollando", indicó. "Pero otro aspecto importante de la seguridad es garantizar la cadena de suministro para la escritura, desarrollo y distribución, y así proteger la integridad del software entregado".
SAFECode aborda específicamente esta área y representa el primer esfuerzo de la industria para identificar y analizar el control de la integridad del software utilizado por los fabricantes de programas para proteger los productos de la inserción de vulnerabilidades a medida que avanza a lo largo de la cadena de suministro global, añadió.
Entre las acciones que vale la pena considerar para mejorar la seguridad en la cadena de suministro, los miembros SAFECode recomidan:
* Contratos de proveedores que incluyan términos más fuertes respecto a las responsabilidades y expectativas de los fabricantes y proveedores. "El contrato escrito debe indicar de forma explícita las expectativas, así como las consecuencias de cualquier incumplimiento de los términos del acuerdo", señaló el informe.
* Controles de integridad técnica del fabricante que abarquen todo, desde la transferencia segura del código, el intercambio de sistemas y recursos de red, el escaneo de malware y el almacenamiento seguro.
* Pruebas de seguridad más rigurosas con herramientas de análisis de código estático, escáneres de vulnerabilidad de red y de aplicaciones web, herramientas de análisis de código binario, herramientas de detección de malware que pueden descubrir problemas tales como agujeros de puerta trasera; y herramientas de seguridad de validación de compatibilidad.
El informe refleja una tendencia creciente en la comunidad de seguridad de la información que se basa menos en edificar defensas, y más bien se apoya fuertemente en código de software bien escrito. La tendencia en la seguridad del código se refleja en:
* BSIMM, la construcción de la seguridad en modelos de madurez (o Building Security In Maturity Model);
* El Ciclo de Vida de Desarrollo de Seguridad de Microsoft (SDL o Security Development Lifecycle);
* El crecimiento de OWASP, el Open Web Application Security Project;
* Y el surgimiento de nuevas certificaciones de desarrollo de aplicaciones seguras como la CSSLP del ISC2.
Bill Brenner, CSO (US)