Aprovechar Marcos y Bibliotecas de Seguridad

Las bibliotecas de código seguro y los marcos de software con seguridad integrada ayudan a los desarrolladores a protegerse contra fallos de diseño e implementación relacionados con la seguridad.

Consulte el control proactivo C4: Abordar la Seguridad desde el Principio y sus hojas de referencia para más contexto del proyecto Top 10 Controles Proactivos de OWASP.

Para listas de verificación específicas de tecnología, consulte las Hojas de Referencia de OWASP apropiadas:

• Seguridad AJAX
• Fortalecimiento de seguridad de la cadena de herramientas basada en C
• Seguridad Django
• Django REST framework
• Seguridad Docker
• Seguridad DotNet
• Seguridad GraphQL
• Infraestructura como Código
• Seguridad Java
• Gestión de Javascript
• Kubernetes
• Seguridad Laravel
• Seguridad de Microservicios
• Mejores prácticas de seguridad NPM
• Seguridad Node.js
• Seguridad Node.js para Docker
• Configuración PHP
• APIs REST y cómo evaluarlas
• Seguridad Ruby on Rails
• Framework Symfony
• Servicios Web
• Seguridad XML

y utilícelas como punto de partida para una lista de verificación adaptada a la tecnología utilizada por el proyecto.

Además, considere las siguientes comprobaciones adicionales para marcos y bibliotecas.

Marcos y Bibliotecas de Seguridad

1. Asegurar que los servidores, marcos y componentes del sistema ejecuten las últimas versiones y parches aprobados
2. Utilizar bibliotecas y marcos de fuentes confiables que se mantengan activamente y sean ampliamente utilizados
3. Revisar todas las aplicaciones secundarias y bibliotecas de terceros para determinar la necesidad empresarial
4. Validar la funcionalidad segura de todas las aplicaciones secundarias y bibliotecas de terceros
5. Crear y mantener un catálogo de inventario de todas las bibliotecas de terceros utilizando Análisis de Composición de Software (SCA)
6. Mantener proactivamente actualizadas todas las bibliotecas y componentes de terceros
7. Reducir la superficie de ataque encapsulando la biblioteca y exponiendo solo el comportamiento requerido en su software
8. Utilizar código administrado testeado y aprobado en lugar de crear nuevo código no administrado para tareas comunes
9. Utilizar APIs específicas para tareas integradas para realizar tareas del sistema operativo
10. No permitir que la aplicación emita comandos directamente al Sistema Operativo
11. Utilizar sumas de verificación o hashes para verificar la integridad del código interpretado, bibliotecas, ejecutables y archivos de configuración
12. Restringir a los usuarios la generación de nuevo código o la alteración del código existente
13. Implementar actualizaciones seguras utilizando canales cifrados

Referencias

• Dependency Check de OWASP
• Top 10 Controles Proactivos de OWASP

---

Traducción de versión original en inglés.

La Guía para Desarrolladores de OWASP es un esfuerzo comunitario; si hay algo que necesita cambiarse entonces envía un issue o edita en GitHub.