martes, 30 de septiembre de 2008

Certificaciones de desarrollo seguro


Leo hoy vía segu-info que ISC ha lanzado una nueva certificación de seguridad, en este caso, de desarrollo seguro, denominada Certified Secure Software Lifecycle Professional. Tengo que decir: ¡ya era hora!.

Ni una sola certificación de las demandadas habitualmente hasta la fecha es específica de desarrollo de aplicaciones, sino que todas son de redes, de sistemas propietarios (Microsoft, Cisco,...) o de gobierno TI (tipo CISA, CISM).

Había un hueco por cubrir, creo que eso está claro (y si me equivoco por favor deja caer un comentario), dado que ahora mismo, por ejemplo, los problemas en aplicaciones web son los más explotados, como dicen muchas estadísticas, por ejemplo el informe que nos hizo RedIris a principios de año, con los datos del 2007.

Parece ser que han dividido el temario en siete temas:
  • conceptos de software seguro
  • requisitos de seguridad en el software
  • diseño de software seguro
  • implementación/codificación segura
  • chequeos de seguridad en el software
  • aprobación del software
  • implantación, operación y mantenimiento del software
El primer examen será en Julio 2009.

Mientras, Microsoft ha anunciado que pondrá a disposición de los usuarios, para descarga, su SDL, según nos dicen en Securityfocus. Asimismo, también lanzará una certificación que acredite el conocimiento y experiencia en dicho SDL, dentro de su programa "SDL Pro Network", así como una metodología de análisis de amenazas (threat modeling) basado en este SDL, según nos dice Microsoft en su sitio web.

A mí me parece que ambas certificaciones prometen, la verdad. Pero espero que no se conviertan en otra medalla más, sino que sea algo realmente útil.

Si te gustó esta entrada, quizás quieras suscribirte al blog por email o por RSS...

1 comentario:

Anónimo dijo...

¡Saludos des!

Se trata de una noticia realmente interesante, y que personalmente intentaré aprovechar. Como dices -y hasta donde llega mi conocimiento- no existía hasta ahora ningún equivalente a estas certificaciones, orientadas al desarrollo de software. Precisamente en este campo, como indicas, es donde se encuentran grandes fallas de seguridad de los sistemas, y es necesario incidir en una formación más que necesaria para los desarrolladores.

En mi caso, aunque la titulación que poseo va más enfocada a sistemas, lo cierto es que mi desarrollo profesional ha ido más acorde al área de desarrollo (aunque intento no dejar demasiado de lado el de sistemas). Y de hecho, el campo del desarrollo (algo más) seguro de aplicaciones me interesa especialmente. Así que gracias por la información, porque precisamente buscaba alguna formación interesante relacionada con la seguridad para prepararme en ella algún día (y que sea, a ser posible, algo más que una "afición" más dentro del extenso campo de la informática :)

¡Nos leemos!

Mith.