Implementación de un modelo de desarrollo de software seguro

Abstract

El número de ciberataques y ha aumentado considerablemente en los últimos años, así como su sofisticación e impacto. Por esta razón, se demandan nuevos modelos de desarrollo de software emergentes, que ayuden a desarrollar software seguro por defecto. Para conseguirlo, es especialmente importante el análisis y la comparación en profundidad de los modelos actuales de desarrollo de software seguro. En esta Tesis Doctoral se presenta una revisión de los modelos de software seguro más populares y se propone una nueva metodología de software seguro, adaptada a todos los entornos actuales. Se prueba un experimento práctico en una empresa de desarrollo de software, como caso de estudio, considerando datos de proyectos de software reales. Los resultados se presentan y comparan en dos escenarios de desarrollo: uno clásico con un enfoque de seguridad reactiva, y otro, emergente y preventivo, que aplica la seguridad por defecto en todas las fases del ciclo de vida del software. En el caso de estudio, la cantidad total de vulnerabilidades se reduce en un 68,42%, disminuyendo su criticidad y el impacto temporal de sus resoluciones. De esta manera, la seguridad y la calidad del software se mejoran metodológicamente con el modelo propuesto, lo que demuestra que el nuevo enfoque emergente proporciona un software más seguro.

The number of cyberattacks has greatly increased in in the last years, as well as their sophistication and impact. For this reason, new emerging software development models are demanded, which help in developing secure by default software. To achieve this, the analysis and comparison in depth of the current models of secure software development is especially important. In this Doctoral Thesis, a review of the most popular secure software models is presented, and a new secure software methodology is proposed, adapted to all current environments. A practical experiment in a software development company is tested, as a case study, considering data from real software projects. The results are presented and compared in two development scenarios: a classic one with a reactive security approach, and another one, emerging and preventive, that applies security by default in all phases of the software life cycle. In the case study, the total amount of vulnerabilities is reduced by 68,42%, decreasing their criticality and the temporal impact of their resolutions. In this way, software security and quality are methodologically improved with the proposed model, proving that the new emerging approach provides a more secure software.