En aquest mòdul, explorarem els dominis del Software Assurance Maturity Model (SAMM) d'OWASP. SAMM és un model que ajuda les organitzacions a avaluar i millorar la maduresa dels seus processos de desenvolupament de programari en termes de seguretat. Els dominis de SAMM proporcionen una estructura per categoritzar i avaluar les pràctiques de seguretat dins d'una organització.
Objectius d'Aprenentatge
Al final d'aquest mòdul, hauràs après:
- Quins són els dominis de SAMM.
- Com s'estructuren els dominis i les seves pràctiques associades.
- Com utilitzar els dominis per avaluar i millorar la seguretat en el desenvolupament de programari.
- Què són els Dominis de SAMM?
Els dominis de SAMM són àrees clau que cobreixen diferents aspectes del desenvolupament de programari segur. Cada domini conté diverses pràctiques de seguretat que les organitzacions poden implementar per millorar la seva postura de seguretat.
Llista de Dominis de SAMM
- Governança
- Disseny
- Implementació
- Verificació
- Operacions
- Descripció dels Dominis
2.1 Governança
Objectiu: Establir una base sòlida per a la seguretat a través de polítiques, estratègies i gestió de riscos.
- Estratègia i Mètriques: Definir objectius de seguretat i mesurar el progrés.
- Gestió de Polítiques: Desenvolupar i mantenir polítiques de seguretat.
- Gestió de Riscos: Identificar, avaluar i gestionar els riscos de seguretat.
2.2 Disseny
Objectiu: Incorporar la seguretat des de les primeres etapes del cicle de vida del desenvolupament de programari.
- Requisits de Seguretat: Definir requisits de seguretat per a projectes.
- Arquitectura de Seguretat: Dissenyar arquitectures segures.
- Modelatge de Amenaces: Identificar i mitigar amenaces potencials.
2.3 Implementació
Objectiu: Assegurar que el codi desenvolupat sigui segur i compleixi amb els estàndards de seguretat.
- Revisió de Codi: Realitzar revisions de codi per detectar vulnerabilitats.
- Controls de Seguretat: Implementar controls de seguretat en el codi.
- Gestió de Dependències: Gestionar les dependències de manera segura.
2.4 Verificació
Objectiu: Verificar que les aplicacions compleixin amb els requisits de seguretat establerts.
- Proves de Seguretat: Realitzar proves de seguretat automatitzades i manuals.
- Anàlisi de Vulnerabilitats: Identificar i corregir vulnerabilitats.
- Revisió de Seguretat: Realitzar revisions de seguretat periòdiques.
2.5 Operacions
Objectiu: Gestionar la seguretat de les aplicacions en producció.
- Monitoratge de Seguretat: Monitoritzar les aplicacions per detectar incidents de seguretat.
- Resposta a Incidents: Gestionar i respondre a incidents de seguretat.
- Gestió de Parches: Aplicar parches de seguretat de manera oportuna.
- Implementació dels Dominis de SAMM
3.1 Avaluació de la Maduresa
Per implementar els dominis de SAMM, les organitzacions han de començar per avaluar la seva maduresa actual en cada domini. Això es pot fer mitjançant una autoavaluació o amb l'ajuda d'un assessor extern.
3.2 Desenvolupament d'un Pla de Millora
Després de l'avaluació, l'organització ha de desenvolupar un pla de millora que inclogui objectius específics i accions per millorar la maduresa en cada domini.
3.3 Implementació i Seguiment
Finalment, l'organització ha d'implementar les accions planificades i fer un seguiment del progrés per assegurar-se que s'estan assolint els objectius de seguretat.
Exercici Pràctic
Exercici: Avaluació de la Maduresa en un Domini
- Objectiu: Avaluar la maduresa de la teva organització en el domini de "Governança".
- Instruccions:
- Revisa les pràctiques de seguretat en el domini de Governança.
- Assigna una puntuació de maduresa (de 1 a 5) per a cada pràctica.
- Identifica àrees de millora i desenvolupa un pla d'acció.
Solució Exemple:
| Pràctica de Seguretat | Puntuació de Maduresa (1-5) | Àrea de Millora | Pla d'Acció |
|---|---|---|---|
| Estratègia i Mètriques | 3 | Definir mètriques clares | Desenvolupar mètriques específiques |
| Gestió de Polítiques | 2 | Actualitzar polítiques obsoletes | Revisar i actualitzar les polítiques |
| Gestió de Riscos | 4 | Millorar la identificació de riscos | Implementar eines d'identificació de riscos |
Conclusió
Els dominis de SAMM proporcionen una estructura clara per avaluar i millorar la seguretat en el desenvolupament de programari. Implementar aquestes pràctiques pot ajudar les organitzacions a reduir riscos i millorar la seva postura de seguretat de manera contínua.
Curs d'OWASP: Directrius i Estàndards per a la Seguretat en Aplicacions Web
Mòdul 1: Introducció a OWASP
Mòdul 2: Principals Projectes d'OWASP
- OWASP Top Ten
- OWASP ASVS (Application Security Verification Standard)
- OWASP SAMM (Software Assurance Maturity Model)
- OWASP ZAP (Zed Attack Proxy)
Mòdul 3: OWASP Top Ten
- A1: Injecció
- A2: Pèrdua d'Autenticació
- A3: Exposició de Dades Sensibles
- A4: Entitats Externes XML (XXE)
- A5: Control d'Accés Trencat
- A6: Configuració Incorrecta de Seguretat
- A7: Cross-Site Scripting (XSS)
- A8: Deserialització Insegura
- A9: Ús de Components amb Vulnerabilitats Conegudes
- A10: Registre i Monitoratge Insuficients
Mòdul 4: OWASP ASVS (Application Security Verification Standard)
Mòdul 5: OWASP SAMM (Software Assurance Maturity Model)
Mòdul 6: OWASP ZAP (Zed Attack Proxy)
- Introducció a ZAP
- Instal·lació i Configuració
- Escaneig de Vulnerabilitats
- Automatització de Proves de Seguretat
Mòdul 7: Bones Pràctiques i Recomanacions
- Cicle de Vida de Desenvolupament Segur (SDLC)
- Integració de Seguretat en DevOps
- Capacitació i Sensibilització en Seguretat
- Eines i Recursos Addicionals
Mòdul 8: Exercicis Pràctics i Casos d'Estudi
- Exercici 1: Identificació de Vulnerabilitats
- Exercici 2: Implementació de Controls de Seguretat
- Cas d'Estudi 1: Anàlisi d'un Incident de Seguretat
- Cas d'Estudi 2: Millora de la Seguretat en una Aplicació Web