Diagrama
1. Introducción y alta tarea en JIRA
Las Tareas QA sobre la seguridad en nuestras aplicaciones pretenden garantizar la seguridad de las mismas una vez la implementación está terminada.
El Responsable técnico principal o los responsables técnicos del proyecto deberán crear una Tareas QA dentro de la Release en la que se está trabajando para asegurar que todos los hitos QA relacionados con el código fuente se han cumplido y que el equipo encargado de supervisar y verificar las Tareas QA de el visto bueno a los resultados aportados.
Alta tarea JIRA: "NOMBRE_APLICACION: Pruebas de seguridad" | |||
|---|---|---|---|
Tipo de tarea: | "Tarea QA" / "Subtarea Test" | Pórtico: | Asociado al Proyecto |
Disciplina: | "P9. Gestión de la calidad del software" | Proceso: | "Realizar pruebas de seguridad" |
Etiqueta: | sdaym_seguridad | Versión correctora: | Versión correspondiente a la release en la que estamos. |
Una vez terminado el trabajo el miembro del equipo de desarrollo encargado de realizar la Tarea QA cerrará dicha tarea, y creará una subtarea que será una petición de servicio a DJ-AT-MNCS, para verificar que la recogida de evidencias ha sido correcta. El contenido del Jira a crear es el siguiente:
Alta tarea JIRA: "Revisión QA: NOMBRE_APLICACION Pruebas de seguridad" | |||
|---|---|---|---|
Proyecto | DJ-AT-MNCS | ||
Tipo de tarea: | "Petición de servicio" | ||
Descripción: | Revisión pruebas de seguridad | ||
Enlace | Url página confluence del informe de seguridad generado | ||
2. Realización del análisis de seguridad de la aplicación
El trabajo a realizar para superar las pruebas de calidad consiste en analizar la aplicación comprobando unos hitos de seguridad recogidos en las plantillas que se encuentran en 2023 - PR01 - Control de Calidad eligiendo la pertinente plantilla según sea una aplicación web completa (con o sin servicios) o una aplicación sólo de servicios.
En las comprobaciones de los diferentes hitos de la plantilla de pruebas de seguridad se debe tener en cuenta cubrir cualquier riesgo potencial mencionado en el OWASP TOP 10 ya que son los ataques más frecuentes que reciben las aplicaciones.
3. Registro y publicación de resultados
Para registrar los resultados del análisis de seguridad en nuestra aplicación deberemos copiar la plantilla de seguridad que requiera nuestro proyecto (si es una aplicación web completa o sólo de servicios) 2023 - PR01 - Control de Calidad en la Release correspondiente como hija del apartado YYYY - PRXX - Control de Calidad
4. Solicitud de auditorías por parte del equipo de ciberseguridad SOC
El equipo de ciberseguridad, en adelante SOC, podrá solicitar al Responsable técnico principal o a los responsables técnicos la realización de una auditoría de seguridad de cualquier aplicación del grupo mediante la creación de una TareaQA en la cola genérica del grupo (DJ-AT) indicando la aplicación concreta que se quiere auditar (OJO, esta tarea QA la crea el SOC en la cola del grupo de desarrollo, de modo que una vez creada, el grupo de desarrollo la moverá al proyecto de la aplicación a auditar). A partir de ese momento el Responsable técnico principal o los responsables técnicos del proyecto deberán adecuar la aplicación a las necesidades del SOC para realizar la prueba. Esta circunstancia se debe coordinar con los desarrollos en curso ya que mientras que el SOC esté probando la rama del entorno elegido quedará bloqueada hasta que la auditoría se dé por finalizada.
La necesidad de realización de estas auditorías periódicas se encuentra recogida en la instrucción operativa (SGENS_IO_08) [1.0] Instrucción operativa para realizar auditorias de aplicaciones web