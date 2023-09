Cómo detectar prácticas deficientes de software para un ciclo de desarrollo seguro

08/09/2023

Por: Judy Kelly, Senior Product Security Engineer y David Sastre, Senior Product Security Engineer de Red Hat

En el desarrollo de software moderno, ser mejores y más rápidos manteniendo los estándares de calidad, significa centrarse en la seguridad ante todo. En el proceso se debe impulsar continuamente mejoras escuchando y actuando sobre la retroalimentación temprana en el Ciclo de Vida de Desarrollo Seguro (SDL). Una herramienta importante para lograr este objetivo es la Enumeración de Debilidades Comunes (Common Weakness Enumeration, CWE), una taxonomía de fallos desarrollada por la comunidad de desarrolladores.

Las clasificaciones de la CWE se usan para recopilar inteligencia y datos que permitan visualizar agrupaciones de debilidades comunes. Así, se puede informar mejor sobre los patrones de riesgo en plataformas, cambiando el enfoque de reactivo a proactivo. Estos patrones pueden utilizarse en la reducción de riesgos, retroalimentando la mejora de la SDL. Esto centra la formación e implementación de las prácticas de seguridad de la SDL donde realmente importan.

Ciclo de vida de desarrollo seguro

Red Hat Product Security trabaja con cada equipo de producto para promover prácticas de desarrollo seguras, lo que permite crear software de alta calidad para satisfacer las necesidades de cada cliente. Los arquitectos de seguridad colaboran con los equipos de ingeniería para revisar las características, implementar el refuerzo y responder adecuadamente a las vulnerabilidades y debilidades. Además, como parte del proceso SDL, se implementan modelos de amenazas, pruebas estáticas de seguridad de aplicaciones (SAST), pruebas dinámicas de seguridad de aplicaciones (DAST), pruebas de penetración y otras herramientas heurísticas. Estos proporcionan datos adicionales sobre riesgos y consideraciones potenciales, que ayudan a disminuir el riesgo y mejorar la funcionalidad de la seguridad de los sistemas para una empresa.

Debilidad o vulnerabilidad

El Common Weakness Enumeration (CWE) es un catálogo de debilidades cuyo objetivo es permitir una mejor comunicación de debilidades entre sistemas u organizaciones. Por otro lado, Common Vulnerabilities and Exposures (CVE) es un diccionario de vulnerabilidades y exposiciones de seguridad de la información conocidas públicamente y encontradas en sistemas existentes, implementados y desplegados.

La distinción entre debilidades y vulnerabilidades es que, antes de que comience la implementación del software, no hay ninguna vulnerabilidad que pueda asociarse al proyecto. Sin embargo, puede haber puntos débiles identificados durante las prácticas de SDL, como el modelado de amenazas o SAST.

Es esta distinción la que lleva a la Seguridad de Producto a utilizar un enfoque proactivo en lugar de reactivo. Al identificar los puntos débiles (oportunidades de endurecimiento) durante el proceso de desarrollo, buscamos reducir el riesgo de caer presa de una CVE y reducir la carga de trabajo de futuros parches para los equipos de ingeniería.

Un enfoque proactivo significa que mapeamos los puntos débiles encontrados durante el proceso de SDL, trabajando de forma más inteligente y rápida al centrar el esfuerzo en patrones de riesgo comunes en las primeras fases del desarrollo.

En Red Hat, el equipo de ingeniería de seguridad de productos recopila métricas para formular patrones de riesgo utilizando los 25 principales CWE encontrados en diferentes fases de SDL. Para aportar información a la base de conocimientos la empresa se centra en entrenamiento de seguridad, guías de fortalecimiento con uso de guías de despliegue de modelos de casos de amenazas e implementación de mejores prácticas y testeo seguro con mejoras de QA/QE y mejor cobertura.

Recursos usados para identificar debilidades

El CWE se centra principalmente en el desarrollo de software y no en su despliegue. Por este motivo, los aspectos operativos deben considerarse por separado. No todos los CWE son tan precisos como nos gustaría y no siempre es posible encontrar un ID de CWE que describa perfectamente lo que se ha encontrado.

CWE es sólo una de las fuentes de datos que utilizamos durante nuestras prácticas de seguridad de SDL para crear modelos de amenazas y pruebas de penetración más precisos como MITRE ATTACK para entender qué puede fallar, MITRE D3FEND para planear cómo migrar o cómo mitigar, Model C4 para visualizar la arquitectura de forma visual, y otros recursos.

Desarrollar software que mantenga una mayor huella de seguridad es una tarea compleja. La Seguridad de Producto trabaja para mantenerse a la cabeza del desafío priorizando nuestro trabajo para identificar los riesgos exclusivos de las ofertas de Red Hat a través de la recopilación de métricas, incluyendo datos CWE, de cada fase de la SDL y luego analizando los datos para tomar decisiones informadas, centrando nuestros esfuerzos en mejorar las medidas de seguridad donde realmente importa.

