Please enable JavaScript.
Coggle requires JavaScript to display documents.
Metodologías de S-SDLC - Método SREP y Método DREAD; y test de mutación…
Metodologías de S-SDLC - Método SREP y Método DREAD;
y test de mutación de datos
Ciclo de Vida de Desarrollo de Software SDLC
Es un proceso iterativo en el cual se identifican cuatro etapas principales: Requisitos,Diseño, Desarrollo y Pruebas.
Caracteristicas
Aplicaciones más robustas, disminución de problemas en producción y ahorro en tiempo de desarrollo, ya que se construye con la seguridad en mente (sin olvidar la usabilidad o aspectos de rendimiento), los posibles bugs que se vayan introduciendo se detectaran en fases más tempranas, y por lo tanto los cambios para arreglarlo serán menores.
TEST de mutación de datos
Una de las pruebas mas efectivas sinlas pruebas basadase en un mutación, son una técnica de prueba basada en fallas en la que las variaciones de un programa de software están sujetas al conjunto de datos de prueba. Esto se hace para determinar la efectividad del conjunto de prueba para aislar las desviaciones.
Se testea la aplicación ingresando en
sus interfaces datos “mutados”
Con diferente signo
De diferente tipo
Con diferente longitud
Fuera de rango
Con caracteres especiales
Con Código (ej: javascripts)
Con valores nulos
Con valores aleatorios
SREP Security Requirements
Engineering Process
Es un método basado en activos y orientado a riesgos, que permite el establecimiento de requisitos de seguridad durante el desarrollo de las aplicaciones. Lo que define este metodo es la implemtentación de Commo Criteia durante todas fases del desarollo de software.
Para cada iteración
se tiene en cuenta 9 pasos
Acuerdo en las definiciones
Identificación de activos críticos o vulnerables
Identificar los objetivos y dependencias de seguridad
Identificar amenazas y desarrollar artefactos
Evaluación del riesgo
Elicitación de los requisitos de seguridad
Categorizar y priorizar los requisitos
Inspección de requisitos
Mejora el repositorio de documentación
Método DREAD
Es un esquema de clasificación para
cuantificar, comparar, ordenar y priorizar
la cantidad de riesgo presentado
por cada amenaza evaluada.
Su nombre corresponde a un acrónimo de
los siguientes 5 ítems:
Daño Potencial: ¿Cuán importante es el daño de esta amenaza?
Reproducibilidad: ¿Cuán reproducible es la vulnerabilidad?
Explotabilidad: ¿Cuán fácil es de explotar vulnerabilidades?
Usuarios afectados: ¿Cuáles y cuántos usuarios se verían afectados?
Descubribilidad: ¿Cuán fácil de descubrir es la vulnerabilidad?