Estándar de seguridad en aplicativos web, OWASP
La seguridad en las aplicaciones web, siempre es uno de los puntos mas «delicados» a la hora de establecer características de un desarrollo. A estas alturas del cuento, seguramente ya nos habremos enfrentado a algún lobo feroz, manzana envenenada o bruja malvada y sabemos que el tema de la seguridad es primordial. No obstante, la mayoría de los proyectos que tengo la ocasión de ver, tratan el tema como algo etéreo y muy pocos entran tan en profundidad como pueda verse con otros procedimientos de prueba y control en los que siglas como RUP, Metrica3, UNE-ISO IEC 90003:2005 son utilizadas hasta la extenuación.
La consecuencia directa de esto, es la fragilidad a la hora de implementar medidas homogéneas en la seguridad de nuestras aplicaciones y sobre todo, la falta de coherencia en muchas ocasiones para definir que es seguro y que no lo es. Para suplir gran parte de estas carencias, es totalmente recomendable la adopción de un estándar, que nos sirva como guía y punto de referencia a la hora de implementar medidas de seguridad y/o programar de una manera orientada a la seguridad.
OWASP (Open Web Application Security Project, Proyecto de seguridad de aplicaciones web abiertas) y en concreto la fundación nacida a raíz del éxito del proyecto, conforman una serie de guías y proyectos relacionados con la implementación de la seguridad en desarrollos principalmente web. Nacido en 2001, el proyecto liderado por expertos de seguridad y empresas colaboradoras, ofrece como base el documento «OWASP Development Guide» o Guía de desarrollo, cuya madurez y calidad, le han hecho merecedor de ser el estándar de facto en el mundo de la seguridad de los desarrollos web.
Este documento contiene directrices que, independientemente del lenguaje de programación utilizado, nos podrán ayudar a la hora de establecer unos criterios válidos cuando planifiquemos nuestra aplicación. Además, se cubren con bastante acierto, aspectos tanto técnicos como organizativos, tanto para desarrollos incipientes, como para desarrollos que llevan un tiempo en producción.
Además de la guía, OWASP mantiene una serie de documentos y herramientas que nos ayudan a mantener la seguridad de nuestras aplicaciones desde los vectores de la protección, la detección y el ciclo de vida de nuestros desarrollos, con un nivel de actualización de contenidos verdaderamente envidiable.
En sitio web de OWASP, https://www.owasp.org, podemos encontrar todos los documentos a los que he hecho referencia y mucha más documentación acerca de seguridad en el entorno de aplicativos web.
Saludos,