Software Seguro y Calidad

Questions and Answers

¿Cuál es la función de un compilador en el proceso de transformación de un lenguaje de alto nivel?

• Optimizar el código para mejor rendimiento
• Ejecutar el programa directamente
• Convertir el lenguaje ensamblador en código máquina
• Transformar el código de alto nivel en lenguaje ensamblador (correct)

Un intérprete convierte el código de alto nivel directamente en lenguaje máquina sin necesidad de compilación.

True (A)

¿Qué valor hexadecimal se mueve al registro ax cuando asignas 42 a la variable x?

2a

El lenguaje de más bajo nivel que puede entender directamente un procesador es el lenguaje __________.

máquina

Relaciona los siguientes lenguajes con su tipo:

JavaScript = Interpretado C = Compilado Python = Puede ser tanto interpretado como compilado Java = Puede ser tanto interpretado como compilado

¿Qué ventaja principal ofrece un entorno interpretado?

Independencia de la plataforma (D)

Las aplicaciones en lenguajes compilados pueden ejecutarse sin necesidad de un compilador instalado en la máquina local.

True (A)

¿Cuál es una desventaja principal de los lenguajes interpretados?

Requieren que el intérprete esté instalado en la máquina local

¿Cuál es la función principal de un sandbox en relación con un applet de Java?

Restringir el acceso a recursos del sistema. (A)

Los applets de Java pueden causar actividades maliciosas tanto a propósito como accidentalmente.

True (A)

¿Quién media el acceso a los recursos del sistema en un entorno de sandbox?

La máquina virtual de Java (JVM)

El ______ se encarga de verificar la adhesión a las reglas predeterminadas en Java.

verificador de bytecode

Relaciona los componentes con sus funciones:

Java Virtual Machine = Interpreta bytecode y gestiona recursos Cargador de applets = Carga applets desde el servidor Verificador de bytecode = Valida el código antes de su ejecución Gestor de seguridad de applets = Controla el acceso a recursos del sistema

¿Qué mecanismo proporciona la lengua Java para protegerse?

Todos los anteriores (B)

Los programadores no pueden escribir applets que escapen del sandbox de Java.

False (B)

¿Cuál es una de las amenazas a la seguridad que enfrentan los entornos de sandbox?

Acceso no autorizado a recursos del sistema

¿Cuál es una de las funciones de las APIs en el contexto de la seguridad?

Implementar controles de seguridad (D)

Las APIs permiten a los desarrolladores acceder a la funcionalidad del sistema operativo sin restricciones.

False (B)

¿Qué es la validación de parámetros?

Confirmar que los valores de parámetros recibidos están dentro de límites definidos.

Las __________ son colecciones de componentes que realizan tareas específicas útiles para otros componentes.

bibliotecas de software

Relaciona cada sistema operativo con su característica respecto a las APIs:

Apple macOS = Requiere APIs estándar para acceder a funciones del sistema Google Android = Usa APIs para acceso a la red y funciones de archivos Microsoft Windows = Implementa restricciones en el uso de APIs Linux = No requiere APIs para funcionalidades básicas

¿Por qué es importante validar los parámetros en un entorno cliente/servidor?

El cliente puede ser comprometido o eludido (A)

¿Cuál es la principal función de un sistema de gestión de configuración de software (SCM)?

Mantener la integridad y trazabilidad del software (A)

Las bibliotecas de software no juegan un papel importante en la reutilización del código.

False (B)

Menciona un ejemplo de funcionalidad que las APIs permiten a los desarrolladores utilizar.

Apertura y cierre de archivos.

Las configuraciones inseguras no afectan la seguridad de un producto de software seguro.

False (B)

¿Qué problema resuelve la gestión de configuración en el desarrollo de software?

El problema de las configuraciones incorrectas que pueden surgir durante el ciclo de vida del desarrollo.

La gestión de configuración permite el control de cambios a través de __________.

automatización

Asocia las funcionalidades de los sistemas SCM con su descripción:

Versionado = Control de cambios y seguimiento de revisiones Fusión = Unir cambios de diferentes desarrolladores Sincronización = Mantener actualizados varios repositorios de código Gestión de concurrencia = Manejo de cambios en archivos extraídos por múltiples usuarios

¿Cuál de las siguientes opciones representa un riesgo en la gestión de configuración?

Cambios no controlados en archivos (C)

Los sistemas SCM no son relevantes en entornos de desarrollo seguros.

False (B)

¿Cuál de las siguientes afirmaciones describe mejor el acoplamiento bajo?

Un módulo puede pasar un valor a otro módulo sin esperar resultados de otros módulos. (C)

¿Qué determina el seguimiento de cambios en un sistema SCM?

La capacidad de verificar que el software final incluye todos los cambios aprobados.

El acoplamiento elevado disminuye la complejidad del programa.

False (B)

¿Qué se entiende por cohesión alta en un objeto?

Un objeto que está diseñado para realizar una única función lógica.

El proceso de definir lo que hace una clase o un objeto y omitir cómo lo logra internamente se conoce como _____ .

abstracción

Empareja los siguientes términos con sus descripciones:

Acoplamiento alto = Dependencia de múltiples módulos Cohesión alta = Realización de una única función Abstracción = Sistematización de la interacción entre componentes API = Definición de la manera en que los componentes se interrelacionan

¿Qué efecto tiene la complejidad en la seguridad de un programa?

Aumenta la probabilidad de vulnerabilidades. (B)

La disminución de la complejidad de un programa puede ayudar a mejorar su seguridad.

True (A)

¿Cuál es el objetivo principal de una API?

Especificar cómo los componentes de software interactúan entre sí.

¿Cuál es una ventaja de utilizar SSH en los repositorios?

Cifra todo el tráfico (C)

La infraestructura de clave pública (PKI) asegura la no repudio en las comunicaciones SSH.

True (A)

¿Qué se requiere para llevar a cabo una evaluación de seguridad de software?

Revisar documentos aplicables y desarrollar un plan de verificación.

El desarrollo seguro de software se basa en una política organizacional fundamentada en la gestión de ______.

riesgos

Empareja los métodos de evaluación de seguridad con su descripción:

SAST = Análisis de código estático DAST = Análisis de código dinámico Unit Testing = Pruebas de componentes individuales Integration Testing = Pruebas de integración entre componentes

¿Cuál de los siguientes es un método de prueba mencionado para evaluar la seguridad del software?

SAST (D)

Elegir un proveedor de servicios de repositorio web es una opción adecuada para proyectos con grandes inversiones de propiedad intelectual.

False (B)

Menciona dos áreas que requieren atención adicional durante una evaluación de seguridad de software.

Gestionar riesgos asociados con el desarrollo de software y auditar cambios de software.

El principal propósito de una evaluación de seguridad de software es verificar que la cadena desde la política hasta el ______ funciona correctamente.

producto

Flashcards

Applet

Un pequeño programa de software que se ejecuta dentro de un navegador web o una aplicación.

Entorno de arena (sandbox)

Un entorno seguro y confinado para que los applets puedan ejecutarse sin afectar al sistema principal.

Máquina virtual Java (JVM)

Un programa que actúa como intermediario entre el applet y los recursos del sistema operativo, verificando su comportamiento.

Código de byte

Código intermedio que la JVM ejecuta.

Verificador de código de byte

Componente del JVM que valida si el código de byte es seguro antes de ejecutarlo.

Seguridad en applets Java

Mecanismos que protegen el sistema del comportamiento no deseado de los applets, evitando el acceso no autorizado a los recursos del sistema.

¿Qué hace el sandbox?

Limita el acceso del applet a los recursos del ordenador.

Posibles riesgos de los applets

Pueden ejecutar acciones maliciosas si no se desarrollan correctamente. Pueden acceder a recursos que no deberían o causan errores.

Acoplamiento Fuerte

Cuando los módulos de un programa están fuertemente conectados, un cambio en uno puede afectar significativamente a los demás.

Acoplamiento Débil

Los módulos de un programa están conectados de forma independiente, por lo que un cambio en uno no afecta significativamente a los demás.

Cohesión Alta

Un módulo tiene una función lógica única y específica, este es un aspecto ideal en el desarrollo de software.

Cohesión Baja

Un módulo tiene funciones diversas y no relacionadas.

Complejidad en Software

Mayor número de interacciones, componentes e interdependencias hace el software difícil de entender, mantener y seguro.

Interfaz de Programación de Aplicaciones (API)

Define cómo los componentes software interactúan entre sí.

Abstracción

Definir qué hace un objeto u objeto sin especificar cómo lo hace internamente.

Lenguaje de alto nivel

Un lenguaje de programación que es más fácil de leer y escribir para los programadores humanos que el lenguaje máquina.

Lenguaje máquina

El único lenguaje que el procesador puede entender directamente; una serie de bits (0 y 1).

Compilador

Un programa que traduce un programa escrito en un lenguaje de alto nivel a lenguaje ensamblador (o lenguaje de bajo nivel).

Lenguaje ensamblador

Un lenguaje de programación de bajo nivel que es más fácil de leer que el lenguaje máquina, pero menos que un lenguaje de alto nivel.

Ensamblador

Un programa que traduce el lenguaje ensamblador a lenguaje máquina.

Interpretador

Un programa que ejecuta directamente el código de alto nivel, línea por línea, sin necesidad de compilación previa.

Portabilidad

La capacidad de un programa para ejecutarse en diferentes sistemas operativos y plataformas sin modificaciones significativas.

Lenguajes interpretados

Lenguajes de programación que usan un interpretador para ejecutar el código, en contraste con los lenguajes compilados.

Lenguajes compilados

Lenguajes de programación que requieren un compilador para traducir el código a lenguaje máquina antes de su ejecución.

Ventajas de la interpretación

Mayor portabilidad, manejo automático de memoria por el interpretador.

Desventaja de la interpretación

Requiere la instalación del interpretador en cada máquina para ejecutar el programa, no es una aplicación autónoma.

APIs

Interfaz de programación de aplicaciones que proporciona un punto de acceso a funcionalidades del sistema operativo para las aplicaciones.

Validación de Parámetros

Comprobar si los valores de los parámetros recibidos por una aplicación están dentro de los límites permitidos antes de su procesamiento.

Arquitectura Cliente/Servidor

Modelo de aplicación donde un cliente solicita servicios a un servidor.

Bibliotecas de Software

Colecciones de componentes que realizan tareas específicas y útiles para otras partes del programa.

Reutilización de Software

Usar componentes o partes de programas existentes en lugar de escribir código nuevo para la misma función.

Mantenimiento de Software

Proceso de modificar, mejorar o corregir un software existente.

TPMs

Módulos de plataforma de confianza que restringen las comunicaciones con módulos no confiables.

¿Qué es el Control de Configuración de Software?

Un sistema que identifica los atributos del software en diferentes momentos, controlando metódicamente los cambios para mantener la integridad y trazabilidad del software durante todo su ciclo de vida.

Sistema de Control de Configuración (SCM)

Identifica las características de un software en distintos momentos y gestiona metódicamente los cambios.

Problemas de Concurrencia

Situaciones que surgen cuando varias personas modifican el mismo archivo en un repositorio central.

Gestión de la Concurrencia

Maneja los problemas que surgen cuando múltiples personas acceden y modifican archivos simultáneamente en un repositorio centralizado.

¿Para qué sirve un SCM?

Para controlar los cambios en el software a lo largo de su ciclo de vida, asegurando su integridad y trazabilidad.

Repositorios centrales

Sistemas que contienen el código central del software y en los que SCM realiza su función.

Configuración incorrecta

Una amenaza común para la seguridad de un software, incluso en ambientes seguros, evitable con una adecuada Gestión de Configuración.

Repositorios SSH

Los repositorios configurados con SSH cifran el tráfico, incluso en intranets, mitigando el riesgo de interceptación.

Infraestructura de Claves Públicas (PKI)

Un sistema que permite implementar confidencialidad, integridad y no repudio en las comunicaciones SSH.

Proveedores de Repositorios Web

Servicios online que gestionan la seguridad de repositorios, útiles para organizaciones con presupuesto o expertos limitados.

Evaluación de Seguridad de Software

Proceso para validar que las prácticas de desarrollo de software seguro, desde la política hasta el producto, funcionen correctamente.

Políticas y Estándares de Seguridad

Guías y procedimientos a seguir para asegurar que el software se desarrolle de manera segura, basada en la gestión de riesgos.

Pruebas de Seguridad de Software

Métodos como SAST y DAST, más pruebas unitarias e integraciones, para verificar la seguridad del software.

Gestión de Riesgos en Desarrollo de Software

Manejo adecuado de los riesgos asociados al desarrollo de software.

Auditoría y Registro de Cambios de Software

Acciones de control para mantener un registro de los cambios en el software.

Study Notes

Secure Software

• Programming languages are crucial for software creation, with machine language (binary) being the most fundamental form.
• Assembly language uses symbols (mnemonics) to represent machine code, improving programmer efficiency.
• High-level languages (e.g., C, Java, Python) are closer to human language than machine code, leading to more readable and maintainable code.
• Quality software is defined as fitness for purpose.
• Successful software compromises exploit vulnerabilities. These vulnerabilities often stem from defects in the code's design or execution.
• Software security and quality are intrinsically linked; one cannot exist without the other.
• High-quality software is harder to exploit because it's less prone to defects.

Description

En este cuestionario, exploraremos la relación entre la programación de software, su calidad y la seguridad. Aprenderás sobre los diferentes niveles de lenguajes de programación y cómo afectan la capacidad de un software para resistir vulnerabilidades. Conoce las mejores prácticas para asegurar que el software cumpla con su propósito de manera efectiva.