Construyendo un equipo enfocado en la seguridad de la aplicación web

Navega tus respuestas
3

Trabajo como arquitecto de aplicaciones en una empresa más grande que crea aplicaciones web utilizando tecnologías .Net y Java. Estos son vendidos y accedidos por otras empresas (no consumidores). Tenemos varios equipos de desarrollo de aplicaciones que trabajan en estos, incluidos diversos niveles de habilidades de empleados, contratistas / consultores y equipos subcontratados.

Tenemos un grupo de seguridad de la información maduro, operaciones de centros de datos, redes. También tenemos capacitación obligatoria en seguridad de aplicaciones, escaneo de código fuente con software de terceros y orientación a través de políticas y procedimientos de seguridad.

estoy tratando de abogar por un equipo más pequeño (de 3 a 4 personas) que pueda centrarse en la implementación detallada, a nivel de código y en los elementos de remediación de las auditorías y escaneos. Estas personas entenderían cómo el Top 10 de OWASP se ve como en código y en la red, y no se ve como una lista de verificación de la administración.

Pregunta: Estoy buscando información sobre la combinación de habilidades adecuada para construir este equipo, prefiero cualquier estudio de caso documentado, pero las opiniones también tienen valor. Quiero evitar una lista genérica como: desarrollador Java, desarrollador .Net, probador, DBA, etc.

También, tratar de no convertir esto en una pregunta subjetiva, abierta, por lo que agradecería cualquier edición recomendada.

    
pregunta Kevin Hakanson 27.01.2014 - 06:25
fuente

2 respuestas

1

El Modelo de seguridad de construcción en madurez (BSIMM) de Cigital es un estudio detallado de las iniciativas de seguridad de software en 67 organizaciones. Todos los participantes de BSIMM tienen un grupo interno dedicado a la seguridad del software llamado Software Security Group (SSG). Las preguntas frecuentes de BSIMM describen el rol de las características del grupo de seguridad de software (SSG) en enlace .

De acuerdo con las Preguntas Frecuentes de BSIMM, el "tamaño de SSG en promedio es de 14.78 personas (1 más pequeño, 100 más grande, mediana 7) con un" satélite "de otros (desarrolladores, arquitectos y personas de la organización que participan directamente y promueven la seguridad del software ) de 29,6 personas (0 más pequeñas, 400 más grandes, mediana 4). El número promedio de desarrolladores entre nuestros objetivos fue 4,190 personas (11 más pequeñas, 30,000 más grandes, 1,600 medianas), lo que arroja un porcentaje promedio de SSG con un desarrollo de poco más de 1.4% . "

Gary McGraw, Sammy Migues y Jacob West discuten las razones y los beneficios del SSG, particularmente en el contexto de un programa de seguridad de software integral que cubre el ciclo de vida del desarrollo de software. Encontraron el "porcentaje de SSG al desarrollo del 1,4% en las sesenta y siete organizaciones que estudiamos. Eso significa un miembro de SSG por cada 71 desarrolladores. El mayor SSG fue el 27.27% y el más pequeño fue el 0.03%".

  

Aunque ninguno de los sesenta y siete SSG que examinamos tenía exactamente el mismo   estructura (lo que sugiere que no hay una manera determinada de estructurar una   SSG), hay algunos puntos en común que observamos que valen   mencionando En el nivel más alto de organización, los SSG vienen en tres   Principales sabores: los organizados de acuerdo a los deberes técnicos del SDLC,   los organizados por tareas operativas, y los organizados según   A las unidades de negocio internas. Algunos SSG están altamente distribuidos en un   Firme, y otros son muy centralizados y orientados a las políticas. Si miramos   En todos los SSG de nuestro estudio, hay varios   "Subgrupos" que se observan a menudo. Ellos son: personas dedicadas a   política / estrategia y métricas; grupos de 'servicios' internos que (a menudo   por separado) herramientas de portada, pruebas de lápiz y middleware   desarrollo / pastoreo; grupos de respuesta a la incidencia; grupos responsables   para el desarrollo de la formación y la entrega; orientado hacia el exterior   grupos de marketing / comunicación; y, grupos de control de proveedores.

Para obtener más información acerca de este problema, consulte el artículo de Gary McGraw en el artículo 'Realmente necesita un SSG' en enlace

    
respondido por el WaltHouser 06.03.2014 - 22:37
fuente
0

Creo que quieres crear un blueteam que pueda remediarlo después de un pentesting. Por lo que deben saber sobre codificación segura, análisis de código, ingeniería inversa. Deben comprender en profundidad cómo se procesó el código en diferentes plataformas. Puedo decir que es un gran desafío.
Como ya tienes el grupo IS, puedes elegir alguno de ellos. Supongo que no es fácil construir este equipo a partir de ingenieros de codificación.

    
respondido por el incous 19.02.2014 - 04:50
fuente

Lea otras preguntas en las etiquetas

Gestión de claves: almacenamiento de claves cifradas en la base de datos y claves descifradas en la variable de sesión ¿Qué es la suplantación de root del script basado en setuid?