Los desarrolladores de software necesitan saber hacer software seguro

26/10/2012
Miguel Angel Acera
Lectura: 2 minutos

Figura 1. Los desarrolladores con conocimientos sobre seguridad son más felices. |  Foto: bobfamiliar (Attribution License).

Figura 1. Los desarrolladores con conocimientos sobre seguridad son más felices. | Foto: bobfamiliar (Attribution License).

Ayer tuvo lugar en Conference Agile Spain 2012 (#CAS2012) una exposición titulada “¿Está el desarrollo ágil de software alineado con los objetivos de seguridad?” que me ha llamado mucho la atención porque ha puesto de relieve una necesidad. En ella se explicaba que se debía dedicar un sprint exclusivamente al tema de seguridad partiendo de la idea de que no se había abordado previamente de ninguna forma.  Hablamos de seguridad en el sentido de, por ejemplo, evitar que se inyecte códido a través de un formulario de un sitio web. Así, muy esquemática estaríamos ante lo siguiente:

  1. Se desarrolla software, se entrega.
  2. Se desarrolla, se entrega.
  3. Se desarrolla, se entrega.
  4. Se aborda el tema de software seguro y se modifica el software ya desarrollado para hacerlo seguro (refactorización), se entrega.

Se despertó una pequeña polémica sobre por qué no se consideró la seguridad desde el principio para incluirla de forma natural en el desarrollo. Desde luego, al menos en mi opinión, el desarrollo de software seguro es un requisito implícito y debe formar parte del desarrollo desde su diseño y no debe ser pospuesto, pues incrementaría tiempos y costes. Sobre esto hay mucho escrito y con sólo “googlear” un poco aparecen varios millones de entradas sólo en español.

Otra cosa es que se acuda a personas o empresas externas para comprobar si el software creado es tan seguro como se cree. Incluso, se pueden ofrecer recompensas para quien descubra una brecha. Este es el caso de Google a través de su programa de recompensas “Chromium Security Rewards Program”, que premiaba con 60.000 dólares a quien encontrase una vulnerabilidad en Google Chrome. Un adolescente que se hace llamar “Pinkie Pie” lo consiguió el pasado 10 de octubre.

La conclusión a la que se llegó es que los desarrolladores de software necesitan formación en seguridad para que puedan diseñar y desarrollar software seguro, al menos, en cuanto a unos requisitos mínimos se refiere. Y es que estamos hablando de calidad del software. El problema puede estar en un tema de metodología o de conocimiento o de ambas, pero desde luego conocer qué tipo de vulnerabilidades existen es primordial para considerarlas desde el principio. Aquí hay una oportunidad para los profesionales del campo de la seguridad en formar a desarrolladores.


Estos artículos también te pueden interesar:

El Manual Imprescindible de C/C++ en California y Noruega

Ejercicios de programación orientados a problemas reales

Sistema de votación ideal según un informático

El juego de la vida para estudiantes de programación

La teoría de restricciones y la fabricación de aviones de papel

Publica tu comentario

Los comentarios enviados serán publicados después de ser aprobados, por lo que no aparecerán inmediatamente.

 

Etiquetas: ···

desarrollo

26/10/2012 - Miguel Angel Acera en Google+