jueves, 6 de agosto de 2009

BSIMM - Modelo de Madurez para el Desarrollo de Software Seguro

Building Security In Maturity Model (BSIMM) es framework para el desarrollo seguro de software.
Este modelo cuya autoría le corresponde a Gary McGraw, Ph.D., Brian Chess, Ph.D., & Sammy Migues también tiene la participación de distintas organizaciones entre las que podemos mencionar:

  • . Adobe
  • . The Depository Trust and Clearing Corporation (DTCC)
  • . EMC
  • . Google
  • . Microsoft
  • . QUALCOMM
  • . Wells Fargo



En un post del blog "
Seguridad Descifrada" se señala que BSIMM ..
- Intenta recopilar las propuestas de diversas metodologías del desarrollo de software seguro (OWASP, CLASP, etc.) y presentarlo ya agrupado y ordenado... - Una organización pueda seguirlo y de paso averiguar qué nivel de madurez tiene respecto al desarrollo seguro de software...
...
- no es una guía tipo "how-to", sino una "colección de buenas ideas y actividades que están siendo usadas hoy en día" en el marco del desarrollo seguro de aplicaciones. Entre los autores de esta iniciativa se encuentra Gary McGraw, reconocido experto en el desarrollo de software seguro y que ha escrito varios libros sobre este tema, entre otras contribuciones.

-
propone un marco de referencia de seguridad de software (Software Security Framework) que viene siendo el eje de la iniciativa. En general es un documento extenso y sí, está enfocado específicamente a las áreas de desarrollo de software de una empresa para que lo entiendan y vean si es posible aplicar algo (o todo) de lo propuesto por esta iniciativa.
..


Descarga y Web del proyecto

The document is licensed under the Creative Commons Attribution-Share Alike 3.0 License (for license details, go to ).


Recursos adicionales:

- Building Security In Maturity Model presentation - May 2009
This is the standard slide deck we are using for BSIMM presentation. To date, this talk has been delivered at the DHS Software Assurance meeting, FS-ISAC, FSTC, RSA, OWASP NoVa, and OWASP Belgium. More to come.

- BSIMM Workbook (Excel) by David Kadow
This spreadsheet will help you study, slice and dice the activity info within the BSIMM.

- BSIMM Workbook (MS Project) by David Kadow
This Project file helps facilitate a true Project Implementation. Copy or click-click-drag the activities to arrange them in the phases or groupings you need.

- Supply Chain Working Group (toolkit)
The supply chain working group convened by FSSCC/FIBIC (government financial collaboration organizations put together by Treasury, OCC, FDIC...) leveraged BSIMM activities.



Link relacionados:
- METPROSEG en RSI: construir la seguridad en el proceso de desarrollo desde unos cimientos sólidos
- Metodología para el desarrollo de software seguro (BSIMM)
- Podcast Series: RSA Conference 2009 - Building Security In Maturity Model BSIMM (Brian Chess, Gary Mc Graw
- Software [In]security: The Building Security In Maturity Model (BSIMM)

1 comentario:

Informático Forense dijo...

El desarrollo de aplicaciones seguras cobra cada día más importancia. En los últimos años han habido aportes muy importantes en este sentido, tal como este, saludos.