Desarrollo seguro: las pistas de Adobe

Ordenadores

En The Simplest Form of Secure Coding un articulito introductorio en la bitácora de seguridad de Adobe sobre el tema de desarrollo seguro en las empresas.

Incide en el tema de que los consejos sobre desarrollo seguro suelen tener un solapamiento fuerte con los consejos sobre buenas técnicas de desarrollo (mejores prácticas y esas cosas).

As you can see, regardless of your coding language, security best practices tend to overlap with your developer best practices. Following them will either directly make your code more secure or make it easier to integrate security controls later. In meetings with management, developers and security people can be aligned in requesting adequate time to code properly.

Aunque no es lo único. Como sabemos, un programa puede ser técnicamente correcto y tener fallos de seguridad desde muchos puntos de vista.

Todo lo que necesitas saber de POODLE

Puerta cerrada

El año pasado estuvo bastante animado con fallos muy mediáticos (nombres propios, webs dedicadas, etc.). En Everything you need to know about the POODLE SSL bug Troy Hunt hacía un resumen bastante amplio del tema y que vale la pena conservar después de haberlo leído.

Sobre el nombre:

Enough with the crazy bug names, why Poodle?!

No, not Poodle, POODLE – the Padding Oracle On Downgraded Legacy Encryption. In the modern era of fancy bug names, the guys who names this must have been ecstatic when they realised that the acronym actually made a whole heap of sense! But really, that’s exactly what it is – a protocol downgrade support that then exploits a legacy encryption implementation. Nice one guys!

Naturalmente, también escribió Everything you need to know about the Shellshock Bash bug, que también es interesante.

Algunos detalles sobre simuladores de Fórmula 1

Coche de carreras

Ahora que acaba de empezar la temporada de Fórmula 1 puede ser un buen momento para recordar esta entrada del blog F1Metrics donde explicaban en Building a race simulator algunos parámetros de los simuladores que se utilizan para analizar (y preparar) la estrategia: orden en el uso de las ruedas, número de paradas. Para ello hay que analizar diversos parámetros y alimentar el programa con los datos adecuados para que los resultados tengan sentido.

Muy interesante, si te interesan los temas de simulación o las carreras.

Seguridad en proyectos ágiles

Linotipia

Desde hace algún tiempo tengo rondando por aquí un par de documentos sobre seguridad en proyectos ágiles pero nunca he tenido el tiempo necesario (ni tampoco es un tema que salga tan frecuentemente) para re-visitarlos y escribir aquí. Así que, por si le son de utilidad a alguien los dejo sin mucho comentario:

Además, habíamos hablado de temas relacionados en:

Al final, hay que acordarse de la seguridad independientemente del modelo de desarrollo seguido.

Construir sistemas seguros y compartir herramientas

Construyendo

Lo voy a decir desde el principio. La frase que más me gustó de este texto es:

“You go to the security conferences, and it’s all about breaking things,” Sullivan says. “It’s not about building things.”

Esencialmente coincide con mi forma de ver las cosas: ‘romper’ sistemas y encontrar fallos puede ser muy interesante y hasta ‘sexy’ pero no estoy seguro de que sea la forma en que la mayoría de nosotros deberíamos enfrentarnos a los temas de seguridad. Tenemos que aprender, creo, pautas para desarrollar sistemas (y programas) lo mejor posible, teniendo en cuenta la usabilidad, la gestión y todo el proceso que va alrededor de estos productos. Tiene sentido conocer las cosas que han ido mal y por qué se han roto, pero el enfoque debería ser hacia construirlas para evitar esos problemas.

El artículo es Facebook, Google, and the Rise of Open Source Security Software se habla de algunos responsables de seguridad de empresas como Facebook y Google que no sólo piensan lo de construir sistemas seguros. Pero no sólo eso, también comparten sus desarrollos para que otros puedan sacar partido de ello:

“The concept of releasing software—and the specific ways we go about making infrastructure more secure—hasn’t really caught on yet with the wider security community, but we’re getting there,” says Arpaia. “I think OSquery can be a good push in that direction.”