Lecciones aprendidas en la aplicación de un modelo de madurez en la seguridad de los programas
Ya hemos hablado alguna vez de los modelos de madurez sobre seguridad y, en particular, del de la OWASP, el SAMM (Modelo de Seguridad en programas informáticos de la OWASP).
En OWASP SAMM v2: lessons learned after 9 years of assessment lo que dice el título, algunas de las lecciones aprendidas en este proceso.
Lo primero que se decía hace algunos años era que la solución de los problemas de seguridad vendría de las pruebas:
As you can see from the 2012’s results, the first answer of a Company to the software security issues is: testing, testing, testing!
Sin embargo, durante estos años se han dado cuenta de que las pruebas son una herramienta más, no la solución:
What we learned during these years is that testing is NOT the solution of Software Security. Testing is just a part of your Software Security journey.
Y, desde luego, mejorar todas las prácticas relacionadas con la seguridad para gestionar la seguridad del software de manera adecuada.
That’s why you need to improve all the security practices of the SAMM model in order to manage Software Security properly.