1 of 22

Requerimientos

OWASP UY

OWASP Uruguay

2 of 22

¿Qué requerimientos debe cumplir el software para ser seguro?

owasp.org/uruguay

3 of 22

¿Todo el software tiene los mismos requerimientos de seguridad?

owasp.org/uruguay

4 of 22

owasp.org/uruguay

5 of 22

¿Qué usos tiene el ASVS?

Define requerimientos para aplicaciones web seguras, se puede usar:

  • Como métrica - utilizado para criterio de evaluación.
  • Como guía - selección de controles a incorporar.
  • Durante la adquisición - requisitos base a incorporar en los contratos.

owasp.org/uruguay

6 of 22

¿Qué es el ASVS?

  • Requerimientos para aplicaciones web seguras.
  • Define 3 niveles de verificación de seguridad, con cada nivel aumentando en profundidad.
  • Define 14 capítulos, los que están definidos en secciones y cada sección agrupa requerimientos o requisitos.

owasp.org/uruguay

7 of 22

Niveles ASVS

owasp.org/uruguay

8 of 22

ASVS Nivel 1

Bajos niveles de garantía, y es completamente comprobable con pentesting.

  • Nivel mínimo para todas las aplicaciones.
  • Único nivel que puede ser validado 100% en caja negra (no recomendado).
  • Logra defenderse contra vulnerabilidades de seguridad de aplicaciones que son fáciles de descubrir (ej.: OWASP Top 10).

owasp.org/uruguay

9 of 22

ASVS Nivel 2

Nivel estándar para aplicaciones que contienen datos confidenciales y sensibles.

  • Nivel recomendado para la mayoría de las aplicaciones.
  • Defiende adecuadamente contra la mayoría de los riesgos asociados con el software hoy en día.

owasp.org/uruguay

10 of 22

ASVS Nivel 3

Nivel para aplicaciones más críticas

  • Nivel recomendado para aplicaciones que realizan transacciones de alto valor, contienen datos médicos sensibles, o cualquier aplicación que requiere el más alto nivel de confianza.
  • Defiende adecuadamente contra vulnerabilidades avanzadas de seguridad de aplicaciones y también demuestra principios de buen diseño de seguridad.

owasp.org/uruguay

11 of 22

Ejemplo de requisitos

owasp.org/uruguay

12 of 22

Cómo Hacer Referencia a los Requisitos de ASVS

v<version>-<chapter>.<section>.<requirement>

  • Ej: v4.0.3-1.11.3
  • Las listas de requisitos de ASVS están disponibles en CSV, JSON.

owasp.org/uruguay

13 of 22

Common Requirement Enumeration

owasp.org/uruguay

14 of 22

Common Requirement Enumeration

owasp.org/uruguay

15 of 22

Common Requirement Enumeration

OWASP ASVS 4.0.3

owasp.org/uruguay

16 of 22

OWASP SKF

owasp.org/uruguay

17 of 22

Demo OWASP SKF

owasp.org/uruguay

18 of 22

OWASP SDLC Environment

owasp.org/uruguay

19 of 22

OWASP SDLC Environment

owasp.org/uruguay

20 of 22

OWASP SDLC Environment

owasp.org/uruguay

21 of 22

OWASP SLDC Environment

  • Crear un proyecto en SKF
  • Generar requerimientos para Sprint 1:
      • Web application
      • Level 1
      • Authentication Verification Requirements
      • La autenticación inicialmente será simple con usuario y contraseña almacenados de manera segura en la propia aplicación, no se permitirá segundo factor o canales secundarios.
  • Generar nuevos requerimientos para Sprint 1 incluyendo: manejo de sesiones y control de acceso.

owasp.org/uruguay

22 of 22

Muchas Gracias!!!

owasp.org/uruguay