| Tabla de contenidos |
|---|
Diagrama
1. Introducción y alta tarea en JIRA
Las Tareas QA sobre la seguridad en nuestras aplicaciones pretenden garantizar la seguridad de las mismas una vez la implementación está terminada.
El Responsable técnico principal o los responsables técnicos del proyecto deberán crear una Tarea Tareas QA dentro de la Release en la que se está trabajando para asegurar que todos los hitos QA relacionados con el código fuente se han cumplido y que el equipo encargado de supervisar y verificar las Tareas QA de el visto bueno a los resultados aportados.
Alta tarea JIRA: "NOMBRE_APLICACION: Pruebas de seguridad" | |||
|---|---|---|---|
Tipo de tarea: | "Tarea QA" / "Subtarea Test" | Pórtico: | Asociado al Proyecto |
Disciplina: | "P9. Gestión de la calidad del software" | Proceso: | "Realizar pruebas de seguridad" |
Etiqueta: | sdaym_seguridad | Versión correctora: | Versión correspondiente a la release en la que estamos. |
Una vez terminado el trabajo el miembro el miembro del equipo de desarrollo encargado de realizar la Tarea QA creará cerrará dicha tarea, y creará una subtarea que será una petición de servicio a DJ-AT-MNCS con dicha Tarea QA enlazada para su revisión donde debe estar enlazada la página de confluence de la release en curso donde se encuentra la plantilla rellena con los resultados obtenidos., para verificar que la recogida de evidencias ha sido correcta. El contenido del Jira a crear es el siguiente:
Alta tarea JIRA: "Revisión QA: NOMBRE_APLICACION Pruebas de seguridad" | |||
|---|---|---|---|
Proyecto | DJ-AT-MNCS | ||
Tipo de tarea: | "Petición de servicio" | ||
Descripción: | Revisión pruebas de seguridad | ||
Enlace | Url página confluence del informe de seguridad generado | ||
2. Realización del análisis de seguridad de la aplicación
El trabajo a realizar para superar las pruebas de calidad consiste en analizar la aplicación comprobando unos hitos de seguridad recogidos en las plantillas que se encuentran en 2022 2023 - PR01 - Pruebas Control de seguridadCalidadeligiendo la pertinente plantilla según sea una aplicación web completa (con o sin servicios) o una aplicación sólo de servicios.
En las comprobaciones de los diferentes hitos de la plantilla de pruebas de seguridad se debe tener en cuenta cubrir cualquier riesgo potencial mencionado en el OWASP TOP 10 ya que son los ataques más frecuentes que reciben las aplicaciones.
3. Registro y publicación de
losresultados
del análisis de seguridadPara registrar los resultados del análisis de seguridad en nuestra aplicación deberemos copiar la plantilla de seguridad que requiera nuestro proyecto a (si es una aplicación web completa o sólo de servicios) 2023 - PR01 - Control de Calidad en la Release correspondiente dentro del espacio de confluence del proyecto.La ubicación dentro de la release será como hijo como hija del apartado YYYY - PRXX - Control de Calidad > YYYY - PRXX - Pruebas de seguridad
4. Solicitud de auditorías por parte del equipo de ciberseguridad SOC
El equipo de ciberseguridad, en adelante SOC, podrá solicitar al Responsable técnico principal o a los responsables técnicos la realización de una auditoría de seguridad de cualquier aplicación del grupo mediante la creación de una TareaQA en la cola genérica del grupo (DJ-AT) indicando la aplicación concreta que se quiere auditar (OJO, esta tarea QA la crea el SOC en la cola del grupo de desarrollo, de modo que una vez creada, el grupo de desarrollo la moverá al proyecto de la aplicación a auditar). A partir de ese momento el Responsable técnico principal o los responsables técnicos del proyecto deberán adecuar la aplicación a las necesidades del SOC para realizar la prueba. Esta circunstancia se debe coordinar con los desarrollos en curso ya que mientras que el SOC esté probando la rama del entorno elegido quedará bloqueada hasta que la auditoría se dé por finalizada.
La necesidad de realización de estas auditorías periódicas se encuentra recogida en la instrucción operativa siguiente: "(SGENS_IO_08) [1.0] Instrucción operativa para realizar auditorias de aplicaciones web" (el documento anterior requiere autenticación y NO es un enlace directo, sino un enlace a la página que lo contiene).