Metodología para la programación segura
[30-10-01]
El proyecto Ideahamster ha publicado un manual con una metodología para la programación segura de aplicaciones para Internet. Además, anuncia la celebración de un workshop en Barcelona sobre la metodología de seguridad OSSTMM.
La metodología para la programación segura es un suplemento de la metodología de seguridad OSSTMM (Open Source Security Testing Methodology Manual) que facilita una serie de estándares en vistas al desarrollo de código que deberá encontrarse accesible en Internet. Por tanto se parte desde un principio con la idea de que este código debe estar preparado para sobrevivir en un entorno altamente hostil.
A lo largo del manual se desarrollan las ideas que los diversos programadores y diseñadores de aplicaciones deberán considerar durante las fases de diseño y desarrollo de las aplicaciones.
Estos conceptos se plantean de forma universal para que puedan ser aplicados a los diversos procesos de desarrollo, ya sean manuales o automáticos y el objetivo es poder alcanzar unos requisitos de seguridad que permitan conjugar la máxima productividad del código evitando cualquier posible mal uso que pueda provocar agujeros en la seguridad de los sistemas o aplicaciones.
Los aspectos sobre los que se hace énfasis dentro de este
manual son:
* Comprobación de los datos entrantes
* Protección del proceso
* Control de los datos de salida
Por otra parte se realiza un análisis de los diversos errores de programación que pueden provocar agujeros en la seguridad: desbordamiento de memoria intermedia ("buffer overflow"), ausencia de control en las cadenas de caracteres, el compromiso remoto y la retención de recursos.
Este manual ha sido publicado en inglés y castellano.
Workshop sobre la metodología OSSTMM
El próximo 22 de noviembre se celebrará en Barcelona un workshop sobre la metodología de seguridad OSSTMM. Este workshop será presentado por Pete Herzog (creador de la metodología OSSTMM) e impartido en castellano por tres de los principales en el desarrollo de la metodología: Ángel Uruñuela, Jordi Martínez
y Miguel Ángel Domínguez.
El objetivo de este workshop consiste en facilitar información sobre la metodología OSSTMM, su estructura y su utilización en la realización de verificaciones en profundidad de la seguridad, no sólo de los sistemas informáticos sino de otros elementos clave como son las áreas de marketing, los recursos humanos y la dirección.
En este sentido, el workshop ofrecerá una visión práctica de la metodología OSSTMM y su utilización en las valoraciones de seguridad corporativa. Gracias a la participación del creador de la metodología y de destacados participantes en su desarrollo, los participantes recibirán una gran cantidad de información sobre la utilización real de la metodología.
La asistencia al workshop es gratuita y es de especial interés no únicamente para aquellos involucrados en la realización de pruebas o auditorías de seguridad sino también para aquellos que tienen interés en los aspectos organizativos y están preocupados por la implicación de la seguridad. La duración prevista es de medio día.
Los interesados en asistir al workshop deben enviar un mensaje a workshop@ideahamster.org para realizar la reserva. Más adelante se facilitaran los detalles del lugar de celebración del mismo.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldiacom.asp?id=1098
Más información:
Hispasec 27/04/01: Publicada una metodología para la
verificación de la seguridad
http://www.hispasec.com/unaaldia.asp?id=915
Estándar de programación segura
Versión en castellano
http://www.ideahamster.org/spsmmall-es.htm
Versión en inglés
http://www.ideahamster.org/spsmm.htm
Metodología OSSTMM (Open Source Security Testing Methodology
Manual)
http://www.ideahamster.org/osstmm-description.htm
Información sobre el workshop
http://www.ideahamster.org/workshop.htm
Xavier Caballé
xavi@hispasec.com
Artículos de actualidad ...
Archivo de artículos ...
|
