jueves, 17 de abril de 2008

Programación segura, ¿a quién se enseña? ¿aprendes tú?


Hace muchos años que se habla acerca del desarrollo seguro de aplicaciones. Urgando Hurgando en mi pequeña biblioteca, veo por ejemplo, que en 2002 salió un artículo publicado en IEEE Software de Enero/Febrero, titulado "Improving Security Using Extensible Lightweight Analysis". En 2001 se publicó uno de los libros que debería ser de lectura casi obligada para cualquiera que estudie programación, "Building Secure Software", de John Viega y Gary McGraw.

Desde entonces ha llovido muchísimo, y se ha seguido publicando sobre el tema. Últimamente he leído varios artículos, por ejemplo, en la revista SIC. Hay proyectos libres que tienen por objeto divulgar los principios de desarrollo seguro, como es el caso de Owasp, que ya lleva varios años de evolución.

Sin embargo, me pregunto si los principios de los que se ha hablado ya tantas veces en publicaciones se transmiten en las universidades y en los ciclos formativos, o son, como mucho, contenido de los cursos de postgrado por los que se paga una pasta horrible.

Si eres estudiante universitario (o profe de universidad) y lees este post, por favor hazme saber qué materias sobre seguridad hay en tu temario. Si por tus clases, por las que has pagado, conoces las aproximaciones que ha parido la comunidad científica para ayudarte a repasar tu código buscando problemas de seguridad, como son (por ejemplo) las herramientas de análisis estático, o si te han explicado cómo se usa adecuadamente tu compilador, la primera herramienta de desarrollo seguro que tienes. Si alguien te ha dicho en algún momento en tus estudios que los problemas más gordos de seguridad que tiene una aplicación, vienen normalmente de un diseño inadecuado, o que las pruebas de seguridad deben ir integradas en todo el ciclo de desarrollo de software.

Tanto si te explican como si no te explican en la uni, o donde sea, cultívate por tu cuenta, investiga, escribe, ¡siente pasión por la informática!. Hazte un blog, por ejemplo, ayuda mucho, incluso para encontrar un empleo. Participa en foros. Ve a conferencias. Sal de tus prácticas, !y abre tu mente!.

Gracias al cielo, puedo ver que aunque hay mucho tuzo por el mundo (ya currando, particularmente), hay estudiantes con iniciativa propia, a los que francamente admiro, por tener más ganas de las que tenía yo mismo cuando estudiaba, como por ejemplo estos, o el autor de este otro blog. Su entusiasmo me deja alucinado. ¡Seguid así!.

Slds!

6 comentarios:

rafavargas dijo...

En las clases de la universidad (en la de Sevilla, hasta ahí puedo contar) no se enseña nada de seguridad, salvo algún comentario de algún profesor, pero poco más.

Lo que he aprendido de seguridad siempre ha sido por mi cuenta y entre amigos de la facultad. Supongo que ser autodidacta y compartir el conocimiento con algunos amiguites recíprocamente (ellos también te enseñan cosas) es como más se aprende en la universidad. En las clases, ves conceptos teóricos que muchas veces ayudan a comprender por qué las cosas son como son.

des dijo...

Gracias por el comentario :)

Aunque no haya en el temario directamente, ¿se hace algún otro curso sobre seguridad en el ámbito universitario, en Sevilla? Por ejemplo organizados por asociaciones de estudiantes...

n00b dijo...

Yo hice un ciclo formativo de desarrollo de aplicaciones y de seguridad no se daba nada, quitando eso, algún comentario concreto sobre algo que estuviesemos haciendo.

Yo que ahora mismo estoy interesado en el mundillo (sobre todo seguridad en aplicaciones web, que es a lo que me dedico) tengo problemas a la hora de autoformarme. Me compré un par de libros, pero uno es demasiado básico y el otro demasiado avanzado, por lo que aún no he encontrado mi punto de partida.

Luego tengo el inconveniente del inglés, pero ese ya es mi problema y espero solucionarlo pronto :)

rafavargas dijo...

@des:
Efectivamente, el año pasado hicímos varias charlas y talleres de seguridad (fundamentalmente seguridad web: (Blind ) SQL Injections, XSS, defacement, etc.) por nuestra propia cuenta.

En lo que se refiere a la universidad de Sevilla, las asociaciones de alumnos solemos organizar bastantes cosas (a las cuales llegan a asistir más de un profesor :) para aprender algo)

lonifasiko dijo...

Pues que sepáis que según eweek, los que os dedicáis a temas de seguridad, y sobre todo a desarrollo de software seguro, estáis de suerte de cara al futuro:

Security Software Developer Might Be Next Hot IT Niche

SaludoX segurataX ;-)

des dijo...

Jjeje, @lonifasiko, muy bueno. Me encantaría que se cumpliera la última frase aquí en España: "Those who have this kind of skill can now easily command a higher salary" ;)
Motivo de más para que llegue al plan de estudios, ¿no?.

En mi propia universidad, cuando estudiaba (no hace tanto tiempo, en realidad), no había nada, algún curso de administración de sistemas algo más enfocado en seguridad, organizado por la comunidad autónoma, y poco más. Yo empecé en estas cosas por mi proyecto final de carrera, es decir, con autoformación, y después ya trabajando.

@rafavargas: tiene que molar eso de que los profes vengan a las charlas de los estudiantes a aprender también, ¿verdad?