{"id":4609,"date":"2022-05-09T16:23:46","date_gmt":"2022-05-09T14:23:46","guid":{"rendered":"https:\/\/www.voquz.com\/?p=4609"},"modified":"2022-05-09T16:30:46","modified_gmt":"2022-05-09T14:30:46","slug":"panorama-de-mejores-practicas-para-el-desarrollo-de-aplicaciones-modernas-y-seguras","status":"publish","type":"post","link":"https:\/\/its.voquz.com\/es\/panorama-de-mejores-practicas-para-el-desarrollo-de-aplicaciones-modernas-y-seguras\/","title":{"rendered":"Panorama de mejores pr\u00e1cticas para el desarrollo de aplicaciones modernas y seguras"},"content":{"rendered":"\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t

Panorama de mejores pr\u00e1cticas para el desarrollo de aplicaciones modernas y seguras<\/h1>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

El desarrollo de aplicaciones modernas (MAD) es un enfoque para desarrollar aplicaciones de software utilizando tecnolog\u00edas nativas de la nube. La idea principal es aprovechar las herramientas emergentes m\u00e1s nuevas, como K8, para crear aplicaciones adaptables que sean f\u00e1ciles de escalar, monitorear y administrar.<\/p>

\u00a0<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\"\"\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Pero \u00bfqu\u00e9 pasa con la seguridad? \u00bfDeber\u00edamos tratar de proteger las aplicaciones MAD solo usando la lista de los 10 principales de OWASP como gu\u00eda, o deber\u00edamos explorar opciones adicionales? Y si adoptamos una soluci\u00f3n de seguridad integral, \u00bfc\u00f3mo podemos estar seguros de que los desarrolladores la mantendr\u00e1n a largo plazo?<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t

\u00bfCU\u00c1LES SON LAS MEJORES PR\u00c1CTICAS PARA EL DESARROLLO DE APLICACIONES SEGURAS MODERNAS?<\/h1>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

In einer idealen Welt w\u00fcrden Sicherheits- und Compliance-L\u00f6sungen in jeder Phase des Lebenszyklus der Anwendungsentwicklung enthalten sein. Das bedeutet, dass jede Softwarekomponente standardm\u00e4\u00dfig gesichert und unter Verwendung von Best Practices der Branche implementiert wird.<\/p>

\u00a0<\/p>

MAD-Anwendungen (insbesondere Microservices) helfen uns dabei, eine klare Aufgabenverteilung und individuell absicherbare und sch\u00fctzbare Komponenten zu schaffen. Dies erh\u00f6ht jedoch auch die Wahrscheinlichkeit von Fehlkonfigurationen. Es liegt an Entwicklern und Sicherheitsexperten, den richtigen Weg einzuschlagen, ihre grundlegenden Sicherheitskompetenzen zu verbessern und kontinuierlich auf neue Schwachstellen zu achten.<\/p>

\u00a0<\/p>

Lassen Sie uns angesichts der zunehmenden Komplexit\u00e4t von MAD-Anwendungen die aktuelle Landschaft der Best Practices f\u00fcr die sichere Entwicklung untersuchen. Beginnen wir \u00a0mit den OWASP Top 10.<\/p>

\u00a0<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\n\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\tQuieres aprender m\u00e1s? Entonces simplemente cont\u00e1ctenos... <\/span>\n\t\t\t\t\t<\/span>\n\t\t\t\t\t<\/a>\n\t\t\t\t<\/div>\n\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t

OWASP TOP 10 - \u00bfPOR QU\u00c9 ES IMPORTANTE?\n\n<\/h1>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Hoy en d\u00eda, la lista m\u00e1s conocida de las principales amenazas de seguridad es OWASP Top 10. OWASP es una organizaci\u00f3n sin fines de lucro dedicada a promover pr\u00e1cticas de software seguras. A lo largo de los a\u00f1os, han publicado una lista de los 10 principales riesgos de seguridad de las aplicaciones web seg\u00fan la informaci\u00f3n de la comunidad abierta. Esto fue actualizado por \u00faltima vez en 2011.<\/p>

\u00a0<\/p>

Los 10 principales de OWASP se basan en amenazas de seguridad comprobadas, est\u00e1n bien documentados y son f\u00e1ciles de reproducir. Las aplicaciones MAD pueden ser particularmente vulnerables a estas vulnerabilidades porque el uso de microservicios y sistemas de orquestaci\u00f3n de contenedores agregan complejidad a la arquitectura del sistema. Esto significa que hay muchas m\u00e1s oportunidades de errores de configuraci\u00f3n y autenticaci\u00f3n.<\/p>

\u00a0<\/p>

Hay otra raz\u00f3n por la cual el OWASP Top 10 es importante. Los controles de mitigaci\u00f3n se pueden automatizar, programar e integrar con firewalls de aplicaciones web, herramientas de automatizaci\u00f3n de seguridad y canalizaciones de CI\/CD. La integraci\u00f3n de los controles de seguridad de OWASP en la canalizaci\u00f3n del c\u00f3digo facilita la identificaci\u00f3n y evita muchos problemas de seguridad comunes. Hay muchas herramientas tradicionales para ayudar, incluidos los detectores de desviaci\u00f3n de configuraci\u00f3n, las comprobaciones de IaC, los esc\u00e1neres de dependencia, los verificadores de pol\u00edticas y los verificadores de integridad.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t

\u00bfHAY OTROS M\u00c9TODOS A CONSIDERAR?\n\n<\/h1>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

La pr\u00e1ctica del desarrollo de aplicaciones seguras no est\u00e1 dominada \u00fanicamente por OWASP. De hecho, existen gu\u00edas y est\u00e1ndares competitivos que fomentan el uso de las mejores pr\u00e1cticas para el desarrollo moderno de aplicaciones seguras. La verdadera pregunta es: \u00bfpor qu\u00e9 no se usan tanto?<\/p>

\u00a0<\/p>

Para responder a esta pregunta, echemos un vistazo a dos de estos modelos: BSIMM y SAMM.<\/p>

\u00a0<\/p>

BSIMM (Building Security In Maturity Model) es un marco de seguridad que brinda a las organizaciones informaci\u00f3n pr\u00e1ctica sobre su postura de seguridad en comparaci\u00f3n con otras organizaciones. BSIMM realmente no le dice qu\u00e9 hacer. En cambio, t\u00fa aprender lo que otras organizaciones est\u00e1n haciendo. Debe usar BSIMM si desea integrar un modelo de seguridad establecido en su propio dominio empresarial.<\/p>

\u00a0<\/p>

BSIMM recopila informaci\u00f3n de alrededor de 128 empresas en m\u00faltiples categor\u00edas comerciales. El n\u00facleo del marco BSIMM consta de 122 tareas divididas en 12 pr\u00e1cticas organizadas en cuatro dominios:<\/p>