Ciclo de vida del desarrollo de software (SDLC)

Questions and Answers

¿Cuál de los siguientes aspectos NO se menciona como parte del ciclo de vida del desarrollo de software?

Seguridad

Costo

Especificaciones del cliente (correct)

Funcionalidad

La seguridad en el desarrollo de software debe integrarse en cada fase del ciclo de vida del desarrollo.

True

¿Qué se recomienda para mejorar la calidad del software desarrollado?

Integrar seguridad y funcionalidad en cada fase del ciclo de vida.

El ciclo de vida del desarrollo de software se centra en la funcionalidad, el costo, la calidad y el _____ del software.

programación

Empareja las siguientes metodologías de desarrollo con su enfoque principal:

CASCADA = Desarrollo secuencial con fases definidas ÁGIL = Desarrollo iterativo y adaptable RAD = Desarrollo de aplicaciones rápidas DEVOPS = Integración y entrega continua

¿Cuál de los siguientes modelos describe cómo se moverá la información dentro de un sistema de software?

Modelo informativo

El modelo conductual se encarga de describir las funciones que debe realizar una aplicación.

False

¿Qué tipo de información se procesa en el modelo informativo de una aplicación antimalware?

Signaturas de virus, archivos del sistema modificados, sumas de verificación en archivos críticos y actividad de virus.

El modelo _____ describe las tareas y funciones que la aplicación debe llevar a cabo.

funcional

Empareja los siguientes modelos con su definición:

Modelo informativo = Dicta el tipo de información a procesar Modelo funcional = Describe las tareas y su secuenciación Modelo conductual = Explica los estados de la aplicación durante transiciones Diseño de software = Incluye diseño de datos, arquitectónico y procedural

¿Qué es un análisis de superficie de ataque?

Es una técnica para identificar y reducir el código accesible a usuarios no confiables.

El objetivo de un análisis de superficie de ataque es aumentar el número de servicios en un software.

False

Nombra una de las estrategias básicas para la reducción de la superficie de ataque.

Reducir el número de puntos de entrada disponibles para usuarios no confiables.

La superficie de ataque de un software es mayor cuando hay __________ disponibles para los atacantes.

más puntos de entrada

Relaciona los elementos con sus descripciones:

Superficie de ataque = Código y funcionalidad accesible a un atacante Modelo de amenazas = Identificación de posibles ataques y vulnerabilidades Reducción de privilegios = Minimizar los accesos y permisos que tienen los usuarios Análisis de código = Revisión del código fuente en busca de vulnerabilidades

¿Cuál de las siguientes afirmaciones sobre la reducción de la superficie de ataque es correcta?

Eliminar servicios innecesarios puede ayudar a proteger el producto.

Un ataque puede ocurrir incluso si el código fuente es seguro.

True

¿Qué se debe hacer para reducir la superficie de ataque en el desarrollo de software?

Reducir la cantidad de código y funcionalidad accesible a usuarios no confiables.

¿Cuál es el objetivo principal de la fase de pruebas del software?

Identificar vulnerabilidades y evaluar el rendimiento

La validación asegura que el producto cumple con las especificaciones originales.

False

¿Qué se debe hacer si un sistema se bloquea durante las pruebas?

El producto debe reaccionar revirtiendo a un estado seguro.

La ______ determina si un producto proporciona la solución necesaria para el problema real.

validación

Empareja las pruebas con su descripción correcta:

Pruebas de penetración = Identificación de vulnerabilidades Pruebas de rendimiento = Evaluación de la velocidad y eficiencia del software Pruebas de funcionalidad = Verificación de que todas las funciones están operativas Pruebas de seguridad = Evaluación de resistencia frente a ataques

¿Qué prueba se realiza para asegurar que el software reaccione adecuadamente ante entradas inesperadas?

Prueba de seguridad

El método de verificación se utiliza para evaluar el rendimiento del software.

False

¿Qué tipo de pruebas se deben realizar para verificar que el código no funcione solo en laboratorios?

Pruebas en un entorno que refleje el entorno de producción.

¿Cuál es el objetivo principal del modelo CMMI?

Mejorar los procesos de desarrollo de software

El modelo CMMI es exclusivo para pequeñas empresas de software.

False

¿Qué beneficios se esperan al aumentar el nivel de madurez en el desarrollo de software?

Aumento de la efectividad, repetibilidad y predictibilidad de los procesos de desarrollo.

El modelo ___ sirve para evaluar las prácticas de ingeniería de seguridad y mejorar la calidad de desarrollo.

CMMI

Empareja los siguientes niveles de madurez con su descripción:

Nivel 1 = Ad hoc y sin procesos definidos Nivel 2 = Procesos iniciales establecidos Nivel 3 = Procesos estándar documentados Nivel 4 = Medición y control de procesos

¿Cuál de las siguientes afirmaciones describe mejor la importancia del código de alta calidad?

Ha asociado con menos vulnerabilidades

Los modelos de madurez son irrelevantes en la evaluación de proveedores de software.

False

¿Cuáles son las fases del ciclo de vida del desarrollo de software según CMMI?

Definición del concepto, análisis de requisitos, diseño, desarrollo, integración, instalación, operaciones y mantenimiento.

¿Cuál es el propósito de las pruebas de aceptación?

Asegurar que el código cumpla con los requisitos del cliente

Las pruebas manuales son utilizadas principalmente para situaciones que requieren intuición humana.

True

¿Qué se busca identificar durante las pruebas de regresión?

Funcionalidad, rendimiento y protección tras un cambio en el sistema.

Las pruebas de ______ aseguran que los componentes trabajen juntos como se detalla en las especificaciones de diseño.

integración

Relaciona cada tipo de prueba con su descripción correspondiente:

Unit testing = Pruebas de componentes individuales Integration testing = Verificación de la funcionalidad entre componentes Acceptance testing = Asegurar requisitos del cliente Regression testing = Reevaluación tras cambios en el sistema

¿Qué enfoque es característico de las pruebas automatizadas?

Usar entradas específicas de forma repetible

Las pruebas manuales no implican ningún tipo de codificación o desarrollo.

False

¿Qué se debe hacer después de que se detectan problemas en los procedimientos de prueba?

Transmitir los problemas al equipo de desarrollo para que los solucionen.

Study Notes

Software Development Life Cycle (SDLC)

• The SDLC encompasses various phases, including the life cycle of software development, methodologies, operation and maintenance, and maturity models.
• Software development often prioritizes functionality over security.
• Security controls are frequently bolted on as an afterthought.
• Security and functionality should be designed and integrated during each phase of the SDLC.
• A shared understanding of code development is important.

Software Development Life Cycle Phases

• Requirements Gathering: Determining the purpose, scope, and intended users of the software. This stage should include security considerations.
• Design: Defining the specifications for functionality, including the security features, that the software will implement.
• Development: Writing the code to implement the specified functions.
• Testing: Verifying that the software functions correctly, addresses security concerns, and adheres to requirements.
• Operations and Maintenance: Deploying the software, troubleshooting issues, ensuring the software is maintained securely, and making updates/patches.

Software Development Roles

• Project Manager (PM): Overall responsibility for the project, including cost, schedule, performance, and risk.
• Team Leads: Guiding the development efforts within the team, assigning roles, and maintaining the schedule and quality.
• Architects: Determining the appropriate technologies and frameworks for the project, overseeing the security aspects of the applications and integration with other systems.
• Software Engineers: Building or programming the code to implement the required logic, ensuring security of the product.
• Quality Assurance (QA): Testing the software, finding defects, and verifying its suitability.

Project Management

• Security planning should be integrated into the project's functional plan, referencing documented security policies and previous project documentation.
• Software development processes should be properly implemented to prevent errors and scope creep from impacting the final result.
• Changes in requirements should be managed and properly documented to avoid project delays and customer dissatisfaction.

Testing Phase

• Unit Testing: Testing individual components or modules in isolation to identify defects early and quickly pinpoint where errors lie.
• Integration Testing: Assessing how different modules or components interact to determine whether they work cohesively.
• Acceptance Testing: Verifying if the developed software satisfies end-users' needs.
• Regression Testing: Ensuring that modifications to the software do not introduce new defects and impact existing functionality.

Operations and Maintenance

• Ensuring continuous operation, security, and addressing vulnerabilities uncovered after the deployment.
• Patching and upgrading the software to mitigate risks and maintain security standards.
• Change management is an essential aspect, including reviewing security implications.

Development Methodologies

• Waterfall: A sequential, linear approach.
• Prototyping: Iterative approach where prototypes are developed to explore ideas.
• Incremental: Developing and delivering the software in a series of increments or stages, each meeting specific requirements.
• Spiral: Iterative model, emphasizing risk analysis.
• Rapid Application Development (RAD): Incorporates prototyping to accelerate the development process and reduce errors.
• Agile: Flexible approach emphasizing iterative development and collaboration.
• DevOps: Emphasizes collaboration between development and operations teams.
• DevSecOps: Incorporates security into the development process.

Maturity Models

• Capability Maturity Model Integration (CMMI): A framework for evaluating the effectiveness and maturity of software development processes.
• Software Assurance Maturity Model (SAMM): A framework to assess the security practices in each phase of software development.

Description

Este cuestionario examina las fases del Ciclo de Vida del Desarrollo de Software, que incluye la recogida de requisitos, el diseño, el desarrollo y la prueba del software. Se enfatiza la importancia de integrar la seguridad en cada fase del ciclo. Asegúrate de entender cómo la funcionalidad y la seguridad deben coexistir durante todo el proceso.