La seguridad de un sistema o aplicación no depende del uso de protocolos SSL, de firewalls o del cumplimiento de una norma ISO 27000. La aplicación de pruebas de seguridad (penetration testing) al final del ciclo de desarrollo de software, tampoco es suficiente.
La seguridad es un factor que hay que tener en cuenta en cada fase del desarrollo, ya que la producción de software es un proceso en el que es necesario ir identificando y corrigiendo vulnerabilidades de forma continua.
La clave, por lo tanto, está en la siguiente pregunta:
¿Estamos construyendo un software seguro?
En MTP proponemos las siguientes herramientas que ayudan a desarrollar software seguro:
- Checkmarx, una herramienta de análisis de seguridad del código fuente, integrable con los entornos de desarrollo SW más comunes (Eclipse, MS-Visual Studio, Jira, Jenkins…) que alertará a los programadores sobre las vulnerabilidades que vayan introduciendo en su código.
- BlackDuck, una herramienta de análisis de la seguridad, licenciamiento y operatividad de las librerías de código abierto de terceros empleadas en los propios desarrollos. También integrable con los entornos de desarrollo habituales.
- Contrast, una herramienta de análisis de seguridad del aplicativo en funcionamiento basada en IAST (Interactive Application Security Testing), o lo que es lo mismo pruebas de caja gris.
En MTP ayudamos a nuestros clientes en la implantación del Ciclo de Vida de Desarrollo SW Seguro, una práctica imprescindible:
- Analizando la situación de procesos SW y de las herramientas de desarrollo SW empleadas.
- Proponiendo las herramientas de seguridad más adecuadas en cada caso.
- Realizando pruebas de concepto y proyectos pilotos para validar las herramientas propuestas y su uso en los procesos del cliente.
- Formando y dando soporte a los ingenieros de desarrollo.
Si desea realizar una Prueba de Concepto de las herramientas Checkmarx, BlackDuck o Contrast, por favor, póngase en contacto con nosotros en info@mtp.es