métricas de seguridad en softwares desarrollados

3

Pensando en las métricas de seguridad del software actualmente, he pensado en las siguientes métricas de seguridad del software:

  • número / tipo de CWE detectado por los desarrolladores (informe de errores)
  • número / tipo de CWE detectado por análisis estático
  • número / tipo de advertencia en tiempo de compilación (es decir, desde el protector de pila / fuente fortificada)
  • número / tipo de (presumido) pérdidas de memoria (ejecutando software bajo valgrind o lo que sea)
  • número / tipo de llamadas de función no seguras (sprintf en lugar de sNprintf)

Ahora las preguntas:

  1. ¿Qué otras métricas de seguridad del software sugiere?
  2. ¿Existe una referencia de vanguardia sobre este tema?

Pude encontrar solo métricas de seguridad en TI pero no en software (desarrollo de software).

Los objetivos son medir y tener una visión general de qué tan buenos / buenos son los softwares desarrollados y medir dónde aumentan / disminuyen los esfuerzos en las prácticas de desarrollo de software seguro o cómo / donde el proceso de seguridad necesita algunos cambios.

    
pregunta boos 11.06.2014 - 17:04
fuente

2 respuestas

5

Diga que todas las métricas que anotó en su pregunta indican cero. ¿Eso significa que su software es seguro? ¿Encontrar 0 errores significa que no hay errores?

La razón por la que le cuesta mucho encontrar métricas de solo software es porque el software no existe en un vacío. Aquí hay una pregunta que es igual de difícil: ¿Cuánto vale una pieza de software ?

Hay varias preguntas que me gustaría preguntar si alguien me entregó un informe con las métricas que enumeró aquí.

¿Con qué políticas de seguridad se comparan sus métricas? Por mucho que desprecie el tema (BOOOOORING !!!!), la seguridad en cualquier organización, y por lo tanto su software, debe basarse en una política de seguridad sólida. Y concentrarse en el software solo como quiere hacer en su pregunta es eludir una pieza que no debería ser eludir. Y tenga en cuenta que las políticas pueden determinar cuán graves son ciertos errores en comparación entre sí.

Dicho esto:

OWASP tiene una presentación here que te pueda interesar.

Advertencias de la presentación: Métricas de seguridad del software

  • Las métricas son sensibles al contexto y dependen del entorno
  • dependiente de la arquitectura
  • La agregación puede no llevar a la fortaleza

Aquí hay algunas métricas que listan:

  • Tamaño y complejidad
  • Debilidad / LOC (CWE)
  • Debilidad (gravedad, tipo) a lo largo del tiempo (CVSSv2, CWE)
  • Costo por defecto
  • Superficie de ataque (# de interfaces)
  • Capas de seguridad
  • defectos de diseño (CWE)

Y este documento , aunque no es una referencia única, presente un método para ponderar tipos específicos de fallas de seguridad, que podrían usarse para desarrollar un sistema de puntuación que pueda aplicar a los desarrolladores / aplicaciones.

Y, por último, una estadística muy importante que creo que debería tener en cuenta es el número de falsos positivos, tanto por herramientas de prueba como por evaluadores humanos.

Y luego está CVSS .

    
respondido por el avgvstvs 17.06.2014 - 15:29
fuente
3

Andy Ozment ha propuesto una métrica de seguridad interesante para el software en su artículo Bug Auction: Reconsideración de mercados de vulnerabilidad (WEIS 2004) . En términos generales, su idea es que un proveedor de software establezca un premio por la próxima vulnerabilidad que se encuentre. El premio comienza desde una cantidad fija (por ejemplo, 100 $) y crece cada día (por ejemplo, 10 $ / día). Cuando un cazador de vulnerabilidades (sombrero blanco / negro) encuentra una nueva vulnerabilidad, se le otorga la cantidad actual de dinero y el premio se devuelve a la cantidad inicial y vuelve a crecer. Ahora, después de un tiempo, el proveedor de software puede usar el premio actual como la métrica de seguridad para su software . Entonces, si el premio ahora es de 10000 $, significa que incluso con este incentivo, los cazadores aún no pueden encontrar una nueva vulnerabilidad y, por lo tanto, el software es bastante seguro. Hay algunos análisis económicos en el documento para mostrar las ventajas y desventajas de esta idea.

El documento también tiene algunas citas relacionadas con las métricas de seguridad del software que podrían ser útiles para usted. Aunque podrían ser viejos.

Gracias.

    
respondido por el ZillGate 12.06.2014 - 05:04
fuente

Lea otras preguntas en las etiquetas