Garantía de software

La garantía de software (SwA, por sus siglas en inglés) se define como “el nivel de certeza en que el software está libre de vulnerabilidades, ya sea que hayan sido diseñadas intencionalmente en el software o insertada accidentalmente en cualquier fase de su ciclo de vida, además de que el software funcione como se tiene previsto.”^[1]

El principal objetivo de la garantía de software es asegurarse de que los procesos, procedimientos y productos utilizados para producir y mantener el software cumplen con los requerimientos y estándares especificados para manejar los procesos, procedimientos y productos.^[2] Otro objetivo de la garantía de software es asegurar que los sistemas de software intensivos producidos sean más seguros. Para estos sistemas de software intensivos, se requiere de un análisis preventivo dinámico y estático de las posibles vulnerabilidades y se recomienda la holística, así como la comprensión a nivel sistema. Según Gary McGraw "los defectos de diseño representan el 50% de los problemas de seguridad. Uno no puede encontrar defectos de diseño con sólo mirar el código. Se requiere una comprensión de alto nivel. Por eso el análisis de riesgo de arquitectura juega un papel importante en cualquier programa de seguridad de software.” ^[3]

Otras definiciones[editar]

Departamento de Seguridad Nacional de los Estados Unidos[editar]

De acuerdo con el Departamento de Seguridad Nacional de los Estados Unidos, las características de la garantía de software son:

Confiabilidad: No existen vulnerabilidades explotables, maliciosas o insertadas no intencionalmente;
Ejecución predecible: Confianza de que el software, cuando se ejecute, funcione como debe de hacerlo;
Conformidad: Conjunto planeado y sistemático de actividades multidisciplinarias que garanticen los procesos de software y que los productos cumplan con los requisitos, normas y procedimientos.

Disciplinas que contribuyen a la garantía de software, divididos en áreas de conocimiento y competencia: Ingeniería de software, Ingeniería en sistemas, Ingeniería en sistemas de seguridad de la información, Garantía de información, Prueba y Evaluación, Seguridad, Gestión de Proyectos y Adquisición de Proyectos.^[4]

La garantía de software es una iniciativa estratégica del Departamento de Seguridad Nacional de los Estados Unidos para promover la integridad, seguridad y fiabilidad del software. El programa de garantía de software se basa en la Estrategia Nacional para Asegurar el Espacio Cibernético – Acción/Recomendación 2.14:

“El Departamento de Seguridad Nacional de los Estados Unidos brindará un esfuerzo nacional público–privado para promulgar las mejores prácticas y metodologías que promuevan la integridad, seguridad y confiabilidad en el desarrollo de código de software, incluyendo procesos y procedimientos que disminuyan las posibilidades de código erróneo, código malicioso o puertas trampa que puedan ser introducidas durante el desarrollo.”^[5] Existen programas de código abierto para la garantía de software, que ayudan a identificar potenciales vulnerabilidades de seguridad.^[6]

Departamento de Defensa de los Estados Unidos[editar]

Según el Departamento de Defensa de los Estados Unidos, se refiera a “el nivel de confianza de que el software funciona como debe y que se encuentra libre de vulnerabilidades, ya sean diseñadas intencional o no intencionalmente o insertadas como parte del mismo.”^[7]

Proyecto de Métricas y Herramientas de Evaluación de Garantía de Software (SAMATE)[editar]

De acuerdo con el proyecto SAMATE del Instituto Nacional de Estándares y Tecnología,^[8] garantía de software es “el conjunto planeado y sistemático de actividades que aseguran que los procesos y productos del software cumplan con los requisitos, normas y procedimientos para alcanzar:

Confiabilidad: No existen vulnerabilidades explotables, ya sean de origen malicioso o no intencional, y
Ejecución Predecible: Confianza de que el software, cuando se ejecute, funcione como debe de hacerlo."

Administración Nacional de la Aeronáutica y del Espacio (NASA)[editar]

Según la NASA, la garantía de software es un “conjunto planeado y sistemático de actividades que aseguran que los procesos y productos del software cumplan con los requisitos, normas y procedimientos. Incluidas las disciplinas de Garantía de Calidad, Ingeniería de Calidad, Verificación y Validación, Reportes de No Conformidad y Acción Correctiva y Garantía de Seguridad, así como su aplicación durante el ciclo de vida del software.” La norma de garantía de software de la NASA afirma que: “La aplicación estas disciplinas durante el ciclo de desarrollo de un software es llamado garantía de software.”^[9]

Object Management Group (OMG)[editar]

De acuerdo al OMG, garantía de software es “confiabilidad justificada en conocer objetivos empresariales y de seguridad ya establecidos.”^[10]

El Grupo Especial de Interés (SIG, por sus siglas en inglés) de garantía de software del OMG,^[11] trabaja con Plataforma y Grupos de Acción de Dominio y otras compañías de software, así como con grupos externos al OMG, para coordinar el establecimiento de un marco común para el análisis y el intercambio de información relacionada con la confiabilidad de software, facilitando el desarrollo de una especificación para un marco de garantía de software^[12] que deberá:

Establecer un marco en común de las propiedades del software que pueden ser utilizadas para representar cualquier o todos los tipos de software, para que los proveedores de software y adquisidores puedan presentar sus alegaciones y argumentos (respectivamente), junto con la evidencia correspondiente, utilizando herramientas automatizadas (para tratar la escala)
Verificar que los productos tengan lo suficientemente cubiertas estas características con antelación a la adquisición del producto, para que los ingenieros en sistemas puedan usar estos productos y así puedan construir sistemas más grandes con garantía
Que la industria permita mayor visibilidad durante el estado de garantía de software en el proceso de desarrollo del mismo
Que la industria desarrolle herramientas automatizadas que apoyen el marco común.

Foro de Garantía de Software para la Excelencia en el Código (SAFECode)[editar]

De acuerdo a SAFECode, la garantía de software es “la confianza de que el software, hardware y servicios están libres de vulnerabilidades intencionales y no intencionales y de que es software funcione como debe.”^[13]

Webopedia[editar]

De acuerdo a Webopedia, garantía de calidad de software, también llamada garantía de software es “un nivel de certeza de que el software está libre de vulnerabilidades, ya sean diseñadas intencionalmente en el software o insertadas en cualquier momento durante su ciclo de vida y que el software funcione de la manera que debe.”^[14]

Como observa en la definición de Webopedia, el término “garantía de software” ha sido utilizado como una forma de abreviar Garantía de Calidad de Software (SQA, por sus siglas en inglés) al no considerar la seguridad o confiabilidad. SQA está definida en elManual de garantía de software como: “el conjunto de actividades sistemáticas que brindan evidencia de la capacidad del proceso de software para generar un producto que esté en condiciones ser utilizado.”^[15]

Iniciativas[editar]

Una iniciativa financiada por el gobierno estadounidense llamada Garantía de software ,^[16] que es financiada conjuntamente por el Departamento de Seguridad Nacional de los Estados Unidos, el Departamento de Defensa de Estados Unidos y el Instituto Nacional de Normas y Tecnología y controlan el sitio web Build Security In (BSI).^[17]

¿Por qué la garantía de software es importante?[editar]

Muchas de las actividades empresariales y funciones críticas—- desde la defensa nacional a la banca, el cuidado de la salud, las telecomunicaciones, la aviación, el control de materiales peligrosos—dependen del correcto y predecible funcionamiento del software. Estas actividades se verían seriamente afectadas si los sistemas de software intensivos de los que dependen, fallaran.^[2]

Véase también[editar]

Garantía de calidad del software

Referencias[editar]

↑ "National Information Assurance Glossary"; CNSS Instruction No. 4009 National Information Assurance Glossary
↑ ^a ^b Karen Mercedes, Theodore Winograd "Enhancing The Development Life Cycle To Produce Secure Software" Archivado el 30 de marzo de 2012 en Wayback Machine., Data & Analysis Center for Software, October 2008
↑ McGraw, Gary (2006). Software Security: Building Security In. Software Security. Addison-Wesley. ISBN 0-321-35670-5. p.75
↑ Build Security In Home (2 de diciembre de 2011). «DHS Build Security In web portal». Buildsecurityin.us-cert.gov. Archivado desde el original el 17 de mayo de 2006. Consultado el 8 de mayo de 2013.
↑ Build Security In Home (2 de diciembre de 2011). «Build Security In Home». Buildsecurityin.us-cert.gov. Archivado desde el original el 17 de mayo de 2006. Consultado el 8 de mayo de 2013.
↑ «Open source (software) assurance tools». Archivado desde el original el 11 de septiembre de 2014.
↑ DoD Software Assurance Initiative Archivado el 4 de junio de 2011 en Wayback Machine. September 13, 2005
↑ «Main Page - SAMATE project». Samate.nist.gov. Consultado el 8 de mayo de 2013.
↑ NASA-STD-2201-93 "Software Assurance Standard", November 10, 1992
↑ OMG Software Assurance (SwA) Special Interest Group (SIG) http://adm.omg.org/SoftwareAssurance.pdf Archivado el 29 de septiembre de 2011 en Wayback Machine. and http://swa.omg.org/docs/softwareassurance.v3.pdf Archivado el 12 de octubre de 2006 en Wayback Machine.
↑ «Omg Swa Sig». Swa.omg.org. 26 de febrero de 2010. Archivado desde el original el 3 de diciembre de 2020. Consultado el 8 de mayo de 2013.
↑ http://www.omg.org/CISQ_compliant_IT_Systemsv.4-3.pdf
↑ «Software Assurance: An Overview of Current Industry Best Practices» (PDF). Archivado desde el original el 13 de mayo de 2013. Consultado el 8 de mayo de 2013.
↑ «Webopedia on-line encyclopedia». Webopedia.com. Consultado el 8 de mayo de 2013.
↑ G. Gordon Schulmeyer and James I. McManus, Handbook of Software Quality Assurance, 3rd Edition (Prentice Hall PRT, 1998)
↑ «Software Assurance Community Resources and Information Clearinghouse». Buildsecurityin.us-cert.gov. Archivado desde el original el 18 de julio de 2013. Consultado el 8 de mayo de 2013.
↑ Build Security In Home (2 de diciembre de 2011). «Build Security In Home». Buildsecurityin.us-cert.gov. Archivado desde el original el 27 de mayo de 2010. Consultado el 8 de mayo de 2013.

Enlaces externos[editar]

DHS "Build Security In" information resource
DHS SwA Community of Practice portal
NIST Software Assurance Metrics and Tool Evaluation (SAMATE) project
Object Management Group SwA SIG Archivado el 3 de diciembre de 2020 en Wayback Machine.
Software Assurance Consortium (enlace roto disponible en Internet Archive; véase el historial, la primera versión y la última).
Software Assurance Forum for Excellence in Code (SAFECode)
NASA Software Assurance Guidebook and Standard (see quality assurance in IEEE 610.12 IEEE Standard Glossary of Software Engineering Terminology).
Software Security Assurance State of the Art Report (SOAR)

Datos: Q7554256

[1] "National Information Assurance Glossary"; CNSS Instruction No. 4009 National Information Assurance Glossary

[DACS-2] Karen Mercedes, Theodore Winograd "Enhancing The Development Life Cycle To Produce Secure Software" Archivado el 30 de marzo de 2012 en Wayback Machine., Data & Analysis Center for Software, October 2008

[3] McGraw, Gary (2006). Software Security: Building Security In. Software Security. Addison-Wesley. ISBN 0-321-35670-5. p.75

[4] Build Security In Home (2 de diciembre de 2011). «DHS Build Security In web portal». Buildsecurityin.us-cert.gov. Archivado desde el original el 17 de mayo de 2006. Consultado el 8 de mayo de 2013.

[5] Build Security In Home (2 de diciembre de 2011). «Build Security In Home». Buildsecurityin.us-cert.gov. Archivado desde el original el 17 de mayo de 2006. Consultado el 8 de mayo de 2013.

[6] «Open source (software) assurance tools». Archivado desde el original el 11 de septiembre de 2014.

[7] DoD Software Assurance Initiative Archivado el 4 de junio de 2011 en Wayback Machine. September 13, 2005

[8] «Main Page - SAMATE project». Samate.nist.gov. Consultado el 8 de mayo de 2013.

[9] NASA-STD-2201-93 "Software Assurance Standard", November 10, 1992

[10] OMG Software Assurance (SwA) Special Interest Group (SIG) http://adm.omg.org/SoftwareAssurance.pdf Archivado el 29 de septiembre de 2011 en Wayback Machine. and http://swa.omg.org/docs/softwareassurance.v3.pdf Archivado el 12 de octubre de 2006 en Wayback Machine.

[11] «Omg Swa Sig». Swa.omg.org. 26 de febrero de 2010. Archivado desde el original el 3 de diciembre de 2020. Consultado el 8 de mayo de 2013.

[12] ttp://www.omg.org/CISQ_compliant_IT_Systemsv.4-3.pdf

[13] «Software Assurance: An Overview of Current Industry Best Practices» (PDF). Archivado desde el original el 13 de mayo de 2013. Consultado el 8 de mayo de 2013.

[14] «Webopedia on-line encyclopedia». Webopedia.com. Consultado el 8 de mayo de 2013.

[15] G. Gordon Schulmeyer and James I. McManus, Handbook of Software Quality Assurance, 3rd Edition (Prentice Hall PRT, 1998)

[16] «Software Assurance Community Resources and Information Clearinghouse». Buildsecurityin.us-cert.gov. Archivado desde el original el 18 de julio de 2013. Consultado el 8 de mayo de 2013.

[17] Build Security In Home (2 de diciembre de 2011). «Build Security In Home». Buildsecurityin.us-cert.gov. Archivado desde el original el 27 de mayo de 2010. Consultado el 8 de mayo de 2013.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]