OWASP Uruguay Chapter The OWASP Foundation

http://www.owasp.org

Seguridad en el Ciclo de
Vida de Desarrollo

Mauro Flores
OWASP Global Industry Committee
OWASP Uruguay Chapter Leader
mauro.flores@owasp.org

@mauro_fcib
 Agenda
Introduccin al OWASP
Seguridad en el SDLC
 OWASP ??!!!!!
OWASP -Open Web Application Application Security
Project

Comunidad abierta y sin fines de lucro

Organizacin de voluntarios
Soportada a travs de patrocinios
Promueve el desarrollo de software seguro de
aplicaciones
 OWASP ??!!!!!
Proporcionar recursos gratuitos para la comunidad
Becas pasa el desarrollo de nuevos proyectos
Posibilidad de utilizar las herramientas y
colaboradores disponibles para generar nuevos
proyectos
Becas de Investigacin
OWASP otorga becas a investigadores de la
seguridad en aplicaciones para desarrollar
herramientas, guas, publicaciones, etc.
 Licencias
Approach == OPEN
Todos los documentos, estndares y herramientas se
distribuyen en base a licencias open-source
GFDL
GPL
BSD License
Creative Commons
Captulos
 OWASP

OWASP PCI Project

OWASP Mobile Security Project

OWASP Cloud Security

Seguridad en el SDLC
 SDLC
Metodologas para la incorporacin de la seguridad en el
SDLC

Comprehesive, Lightweight Application

Security Process (CLASP)
Software Assurance Maturity Model (SAMM)
 CLASP
Organizacin:
5 Vistas
7 roles asociados al SDLC
Gerente de Proyecto
Arquitecto
Especificador de Requerimientos
Diseador
Implementador (equipos de desarrollo)
Tester
Auditor de Seguridad
24 Actividades a desarrollar
104 fallas de seguridad agrupadas en 5 categoras
 CLASP
Defino cuales de los 7
roles participarn de
Concepts View(I)
mi proyecto Vulnerability View (V)
Milestone: Understand how CLASP process components interact Milestone: Integrate solutions to problem types into III and IV
and how to apply II through V.

Role-Based View (II)

Consequences of unresolved
Milestone: Create roles required by security-related project and Vulnerabilities
utilize them in III, IV and V

Risk Assessment

Activity-Assessment View (III)

Milestone: Assess 24 security-related CLASP activities for suitability in IV Problem Types
104 problems types are sub- Avoidance &
sumed under 5
Activity Risk of high-level Categories Mitigation
Implementation Costs
Applicability Inaction Techniques

Exposures Periods
Defino cuales de las
(by SDLC phases)
Activity-Implementation View (IV)
24 actividades
Milestone: Perform subset of 24 security-related CLASP ejecutar
activities selected in III
A & M Periods (by SDLC phases)
CLASP
 OpenSAMM
Los recursos de SAMM ayudarn a:

Evaluar las prcticas de seguridad existentes

Construir un programa de seguridad en iteraciones bien
definidas
Demostrar mejoras concretas en el aseguramiento de
Software
Definir y medir las actividades relacionadas con seguridad
 OpenSAMM

Funciones de Negocio
OpenSAMM
OpenSAMM
 OpenSAMM
Por cada nivel SAMM define:
Objetivos

Actividades

Resultados

Umbrales de satisfaccin

Coste

Personal

Niveles relacionados
 OWASP == Secure SDLC
Code Crawler ZAP

ESAPI Mantra

OWASP
Code review Testing ESAPI
Guide Guide WAF
Validar
Establecer requerimientos de
requerimientos de
Controles Anlisis de Revisin de Testingseguridad
de WAF/XML
Seguridad Riesgo Cdigo Seguridad firewalls

SDLC Implementar
Plan Construir Test

Controles
Poltica Concientizacin Entrenamiento
Prcticas de
desarrollo Seguro
ASVS Top 10 ZAP

OWASP
Swingset
Mauro Flores
OWASP Uruguay Chapter Leader
OWASP Global Industry Committee
mauro.flores@owasp.org
Twitter: @mauro_fcib