La seguridad de las aplicaciones se desplaza a la izquierda

Mucha gente está de acuerdo en que la mejor manera de evitar problemas de seguridad en una aplicación es diseñar la seguridad en la arquitectura desde el principio, en lugar de realizar pruebas de caja negra una vez finalizado el desarrollo. Pero, ¿qué aspecto tiene esto en el ciclo de vida real del desarrollo de una aplicación? Las listas de comprobación como la OWASP Top 10 no indican a los arquitectos la mejor manera de trabajar con profesionales de la infoseguridad o de construir por sí solos una aplicación sobre una base segura. ¿Por dónde debe empezar un desarrollador? ¿Cómo diseñar la seguridad de las aplicaciones basadas en el framework JavaScript de la semana que viene, para el que no existen "mejores prácticas"? Los Principios Prácticos de Seguridad de la Información, desarrollados por el Centro de Investigación en Ciberseguridad Aplicada de la Universidad de Indiana, proporcionan tanto una base para la seguridad de las aplicaciones independiente de las decisiones tecnológicas específicas como un medio para establecer un lenguaje común entre diseñadores y defensores. Trabajaremos con un ejemplo de cómo aplicar los principios para construir un modelo de amenaza y un diseño de aplicación, y cómo se ve esto en un ciclo de vida de desarrollo de software "ágil". Los equipos de seguridad pueden contribuir a un buen diseño, ¡no sólo a bloquear errores!