5023 – Puesta en producción segura

Módulo Profesional: Puesta en producción segura.

5023

Este módulo profesional contiene la formación necesaria para desempeñar la función de puesta en producción mediante el desarrollo de un sistema de despliegue de software seguro.

65 Horas

Criterio 1: Prueba aplicaciones web y aplicaciones para dispositivos móviles analizando la estructura del código y su modelo de ejecución.

1. Se han comparado diferentes lenguajes de programación de acuerdo a sus características principales.
2. Se han descrito los diferentes modelos de ejecución de software.
3. Se han reconocido los elementos básicos del código fuente, dándoles significado.
4. Se han ejecutado diferentes tipos de prueba de software.
5. Se han evaluado los lenguajes de programación de acuerdo a la infraestructura de seguridad que proporcionan.

Criterio 2: Determina el nivel de seguridad requerido por aplicaciones identificando los vectores de ataque habituales y sus riesgos asociados.

1. Se han caracterizado los niveles de verificación de seguridad en aplicaciones establecidos por los estándares internacionales (ASVS, “Application Security Verification Standard”).
2. Se ha identificado el nivel de verificación de seguridad requerido por las aplicaciones en función de sus riesgos de acuerdo a estándares reconocidos.
3. Se han enumerado los requisitos de verificación necesarios asociados al nivel de seguridad establecido.
4. Se han reconocido los principales riesgos de las aplicaciones desarrolladas, en función de sus características.

Criterio 3: Detecta y corrige vulnerabilidades de aplicaciones web analizando su código fuente y configurando servidores web.

1. Se han validado las entradas de los usuarios.
2. Se han detectado riesgos de inyección tanto en el servidor como en el cliente.
3. Se ha gestionado correctamente la sesión del usuario durante el uso de la aplicación.
4. Se ha hecho uso de roles para el control de acceso.
5. Se han utilizado algoritmos criptográficos seguros para almacenar las contraseñas de usuario.
6. Se han configurado servidores web para reducir el riesgo de sufrir ataques conocidos.
7. Se han incorporado medidas para evitar los ataques a contraseñas, envío masivo de mensajes o registros de usuarios a través de programas automáticos (bots).

Criterio 4: Detecta problemas de seguridad en las aplicaciones para dispositivos móviles, monitorizando su ejecución y analizando ficheros y datos.

1. Se han comparado los diferentes modelos de permisos de las plataformas móviles.
2. Se han descrito técnicas de almacenamiento seguro de datos en los dispositivos, para evitar la fuga de información.
3. Se ha implantado un sistema de validación de compras integradas en la aplicación haciendo uso de validación en el servidor.
4. Se han utilizado herramientas de monitorización de tráfico de red para detectar el uso de protocolos inseguros de comunicación de las aplicaciones móviles.
5. Se han inspeccionado binarios de aplicaciones móviles para buscar fugas de información sensible.

Criterio 5: Implanta sistemas seguros de desplegado de software, utilizando herramientas para la automatización de la construcción de sus elementos.

1. Se han identificado las características, principios y objetivos de la integración del desarrollo y operación del software.
2. Se han implantado sistemas de control de versiones, administrando los roles y permisos solicitados.
3. Se han instalado, configurado y verificado sistemas de integración continua, conectándolos con sistemas de control de versiones.
4. Se han planificado, implementado y automatizado planes de desplegado de software.
5. Se ha evaluado la capacidad del sistema desplegado para reaccionar de forma automática a fallos.
6. Se han documentado las tareas realizadas y los procedimientos a seguir para la recuperación ante desastres.
7. Se han creado bucles de retroalimentación ágiles entre los miembros del equipo.

1) Prueba de aplicaciones web y para dispositivos móviles:

• Fundamentos de la programación.
• Lenguajes de programación interpretados y compilados.
• Código fuente y entornos de desarrollo.
• Ejecución de software.
• Elementos principales de los programas.
• Pruebas. Tipos.
• Seguridad en los lenguajes de programación y sus entornos de ejecución (“sandboxes”).

2) Determinación del nivel de seguridad requerido por aplicaciones:

• Fuentes abiertas para el desarrollo seguro.
• Listas de riesgos de seguridad habituales: OWASP Top Ten (web y móvil).
• Requisitos de verificación necesarios asociados al nivel de seguridad establecido
• Comprobaciones de seguridad a nivel de aplicación: ASVS (Application Security Verification Standard).

3) Detección y corrección de vulnerabilidades de aplicaciones web:

• Desarrollo seguro de aplicaciones web.
• Listas públicas de vulnerabilidades de aplicaciones web. OWASP Top Ten.
• Entrada basada en formularios. Inyección. Validación de la entrada.
• Estándares de autenticación y autorización.
• Robo de sesión.
• Vulnerabilidades web.
• Almacenamiento seguro de contraseñas.
• Contramedidas. HSTS, CSP, CAPTCHAs, entre otros.
• Seguridad de portales y aplicativos web. Soluciones WAF (Web Application Firewall).

4) Detección de problemas de seguridad en aplicaciones para dispositivos móviles:

• Modelos de permisos en plataformas móviles. Llamadas al sistema protegidas.
• Firma y verificación de aplicaciones.
• Almacenamiento seguro de datos.
• Validación de compras integradas en la aplicación.
• Fuga de información en los ejecutables.
• Soluciones CASB.

5) Implantación de sistemas seguros de desplegado de software:

• Puesta segura en producción.
• Prácticas unificadas para el desarrollo y operación del software (DevOps).
• Sistemas de control de versiones.
• Sistemas de automatización de construcción (build).
• Integración continua y automatización de pruebas.
• Escalado de servidores. Virtualización. Contenedores.
• Gestión automatizada de configuración de sistemas
• Herramientas de simulación de fallos.
• Orquestación de contenedores.

Accede a más información haciendo clic aquí.

En la caja superior se muestra algo de material de apoyo, visita nuestra tienda para ver nuestro catálogo completo.