La seguridad es una de las ocho características clave para el aseguramiento de la calidad del producto software definidas en la norma ISO 25000.
Para continuar midiendo esta característica hemos publicado la
versión 1.4 de nuestro
plugin de seguridad OWASP para Sonarqube cuya principal novedad es la actualización del modelo de seguridad a la versión de
OWASP Top 10 de 2013.
¿Qué ha cambiado del 2010 a 2013? En la versión de 2013 del Top 10 de vulnerabilidades se han llevado a cabo los siguientes cambios:
- Ha cambiado el orden de las categorías (riesgos) A2 y A3, de manera que se da más importancia a la gestión de sesiones y pérdida de autenticación que a la secuencia de comandos en sitios cruzados.
- La falsificación de peticiones en sitios cruzados (CSRF) ha descendido desde A5 hasta posicionarse en el A8. Esto es así porque esta categoría ha estado en el Top 10 desde hace más de seis años y por tanto las organizaciones y los desarrolladores se han centrado suficientemente bien como para reducir el número de vulnerabilidades encontradas en las aplicaciones reales.
- Se ha ampliado la categoría de Fallos en la restricción de accesos a URLs para incluir vulnerabilidades que cubren todas las funciones del control de accesos. Esto incluye maneras de especificar los accesos distintas a solo las URLs, por lo que se ha renombrado a "Falta de Control de la función de nivel de acceso" y se ha subido de A8 a A7.
- Se han fusionado y ampliado las categorías A7 y A9 de 2010 para crear una nueva categoría A6 de "Exposición de datos sensibles". Esta nueva categoría cubre la protección de datos sensibles (en diferencia con el control de accesos) desde el momento que esos datos sensibles son proporcionados al usuario, enviados y guardados en la aplicación, y enviados de vuelta al navegador.
- Se ha añadido la categoría A9 de "Uso de Componentes con Vulnerabilidades Conocidas" que anteriormente se nombraba brevemente pero que ahora tiene su categoría propia al haber aumentado significativamente el uso de componentes de terceros en los desarrollos web.
A partir de la versión 1.4 de
Sonarqube OWASP Plugin ya se categorizan las evidencias de las malas prácticas en el código fuente según
OWASP Top 10 de 2013.
Ya no tienes excusas para mejorar la seguridad de tu código :)
Visita la página del producto para descargar una versión de evaluación y comprobar toda la funcionalidad disponible.