Código blindado: Hacia un software seguro. by Jose Osorio Ríos https://padlet.com/jmor31143/phaz5zdwanv7vp93 En esta sección presentamos los 7 procesos clave para implementar un software seguro, con recursos multimedia para entender y aplicar cada paso. “El modelado de amenazas permite anticipar vectores de ataque y planear contramedidas antes de la codificación” (Hernández, 2020, p. 45). en-us 2025-06-15 22:52:52 UTC 2025-06-15 23:27:05 UTC hello@padlet.com https://padlet.net/icons/8.0/png/1f510.png 1. Definir requisitos de seguridad jmor31143 https://padlet.com/jmor31143/phaz5zdwanv7vp93/wish/3490843871 • Identificar y documentar requisitos de seguridad funcionales y no funcionales: autenticación, autorización, cifrado.

• Realizar Análisis de Riesgos y Evaluación de Amenazas.

• Priorizar controles según nivel de riesgo.


Recurso:

🔗 “What is Secure SDLC?” (Wiz).

]]> 2025-06-15 23:03:27 UTC https://padlet.com/jmor31143/phaz5zdwanv7vp93/wish/3490843871 2. Diseño Seguro & Threat Modeling jmor31143 https://padlet.com/jmor31143/phaz5zdwanv7vp93/wish/3490844152 • Aplicar patrones de arquitectura seguros (ej. MVC con capas de validación).

• Crear Data Flow Diagrams (DFD) y límites de confianza.

• Identificar amenazas con STRIDE.

🖼️ Diagrama de Threat Modeling (Threat Tree).


📄 Guía paso a paso: OWASP Threat Modeling Cheat Sheet

https://cheatsheetseries.owasp.org/cheatsheets/Threat_Modeling_Cheat_Sheet.html :contentReference[oaicite:2]{index=2}


]]> 2025-06-15 23:04:21 UTC https://padlet.com/jmor31143/phaz5zdwanv7vp93/wish/3490844152 3. Codificación con componentes seguros jmor31143 https://padlet.com/jmor31143/phaz5zdwanv7vp93/wish/3490844289 • Usar OWASP Secure Coding Practices (input validation, output encoding, gestión de sesiones, etc.).

• Gestionar dependencias con Software Composition Analysis (SCA).

• Mantener librerías y frameworks actualizados.


Recurso:

📄 OWASP Secure Coding Practices (quick reference guide)



]]> 2025-06-15 23:04:50 UTC https://padlet.com/jmor31143/phaz5zdwanv7vp93/wish/3490844289 4. Revisión de Código (SAST) jmor31143 https://padlet.com/jmor31143/phaz5zdwanv7vp93/wish/3490844511 • Automatizar SAST en cada commit (GitHub Actions, GitLab CI, Jenkins).

• Revisiones manuales con checklist OWASP.

• Bloquear merging si hay vulnerabilidades críticas.


Recurso:

🎥 Vídeo de ejemplo de pipeline CI/CD con SAST/DAST.

]]> 2025-06-15 23:05:32 UTC https://padlet.com/jmor31143/phaz5zdwanv7vp93/wish/3490844511 5. Pruebas de Penetración (DAST & Pentesting) jmor31143 https://padlet.com/jmor31143/phaz5zdwanv7vp93/wish/3490844620 • Ejecutar escaneo dinámico (DAST) en entorno de staging.

• Programar pentests manuales periódicos (internos o externos).

• Documentar hallazgos y asignar acciones correctivas.


Recurso:

🎥 “How to Implement the Secure Software Development Lifecycle”.


]]> 2025-06-15 23:05:54 UTC https://padlet.com/jmor31143/phaz5zdwanv7vp93/wish/3490844620 6. Integración Continua & Entrega Continua (CI/CD) jmor31143 https://padlet.com/jmor31143/phaz5zdwanv7vp93/wish/3490844720 • Incluir escaneos de seguridad (SAST, DAST, dependencia) en cada build.

• Configurar gates que bloqueen despliegues con fallos de seguridad.

• Validar contenedores (Docker scan, K8s policies).


Recurso:

📊 Diagrama SSDLC completo (SlideShare)

]]> 2025-06-15 23:06:17 UTC https://padlet.com/jmor31143/phaz5zdwanv7vp93/wish/3490844720 7. Monitoreo y Retroalimentación (RASP & Logs) jmor31143 https://padlet.com/jmor31143/phaz5zdwanv7vp93/wish/3490844864 • Implementar Runtime Application Self-Protection (RASP).

• Centralizar logs de seguridad y alertas (SIEM).

• Cerrar el ciclo: enviar lecciones aprendidas a fases de diseño y codificación.


Recurso:

🎧 Podcast SE-Radio 658: Tanya Janca sobre Secure Coding.



]]> 2025-06-15 23:06:49 UTC https://padlet.com/jmor31143/phaz5zdwanv7vp93/wish/3490844864 8. Referencias. jmor31143 https://padlet.com/jmor31143/phaz5zdwanv7vp93/wish/3490853384 AppSec101. (2019). What makes a secure SDLC? | AppSec 101 [Video]. YouTube. https://www.youtube.com/watch?v=MHhHrztQ-Cw

Hernández, M. (2020). Ciclo de vida de desarrollo ágil de software seguro (pp. 39–102). Fundación Universitaria Los Libertadores.

Infosec. (2018). How to Implement the Secure Software Development Lifecycle [Video]. YouTube. https://www.youtube.com/watch?v=tXCQ4HagtJw

Ortega, J. (2018). Seguridad en aplicaciones Web Java (pp. 268–294). RA-MA Editorial.

OWASP. (n.d.-a). Secure Coding Practices – Quick Reference Guide. OWASP Project. Retrieved June 15, 2025, from https://owasp.org/www-project-secure-coding-practices-quick-reference-guide/stable-en/

OWASP. (n.d.-b). Threat Modeling Cheat Sheet. OWASP Cheat Sheet Series. Retrieved June 15, 2025, from https://cheatsheetseries.owasp.org/cheatsheets/Threat_Modeling_Cheat_Sheet.html

OWASP. (n.d.-c). Threat Modeling Process. OWASP. Retrieved June 15, 2025, from https://owasp.org/www-community/Threat_Modeling_Process

Slideshare. (n.d.). Lecture Course Outline and Secure SDLC [PowerPoint slides]. SlideShare. Retrieved June 15, 2025, from https://www.slideshare.net/slideshow/lecture-course-outline-and-secure-sdlcppt/259163056

Software Engineering Radio. (n.d.). SE-Radio 658: Tanya Janca on Secure Coding [Audio podcast episode]. Retrieved June 15, 2025, from https://podcasts.apple.com/us/podcast/se-radio-658-tanya-janca-on-secure-coding/id120906714?i=1000697986971

Wiz. (n.d.). What is Secure SDLC? Wiz Academy. Retrieved June 15, 2025, from https://www.wiz.io/academy/secure-sdlc

]]> 2025-06-15 23:27:03 UTC https://padlet.com/jmor31143/phaz5zdwanv7vp93/wish/3490853384