28 julio 2011

Modelo de madurez de seguridad de software - OpenSAMM en español

Finalmente se ha publicado la guía OpenSAMM traducida en su totalidad al castellano. Según anunciaba el coordinador de esta traducción, Juan Carlos Calderón, en las listas de correo de OWASP, de habla hispana (owasp-spanish, owasp-argentina, owasp-chile, entre otras) esta guía llevaba casi dos años traducida sin ser publicada, pero por fin ha llegado el día.

Para quienes no conozcan este proyecto, está liderado por Pravir Chandra de Fortify Software, compañía especialista en software de seguridad y comprada por HP hace ya casi un año. Sobre su definición, cito textualmente (traduciendo al castellano) su definición directamente sacada de la página web oficial de OpenSAMM:

"El modelo de madurez de seguridad de software (en inglés Software Assurance Maturity Model - SAMM) es un marco abierto para ayudar a las organizaciones a formular e implementar una estrategia a seguir para la seguridad en el software, encajando en los diferentes riesgos a los que se enfrenta una organización. Los recursos proporcionados por el SAMM ayudarán en lo siguiente:
  • Evaluación de las prácticas de seguridad en software de la organización.
  • Construcción de un programa de seguridad en software balanceado en iteraciones bien definidas.
  • Demostración de mejoras concretas en un programa de garantía de la seguridad.
  • Definición y medida de actividades relacionadas con la seguridad dentro de una organización.
SAMM fue definido con la flexibilidad en mente y así poder ser utilizada en pequeñas, medianas y grandes empresas, independientemente del estilo de desarrollo. Además, este modelo puede ser aplicado en toda la organización, para una única línea de negocio, o incluso para un proyecto en concreto.

Como proyecto libre, el contenido de SAMM siempre permanecerá neutral a fabricante y queda disponible libremente para que todo el mundo pueda utilizarlo."


Desde su primera versión publicada, este proyecto formó parte de la comunidad OWASP, con lo que ello conlleva: que toda la comunidad pueda contribuir y en esta ocasión, traducir el documento a otros idiomas. Además de la propia guía, en la sección de descargas (parte de Tools) de la página de OpenSAMM, se dispone de una serie de herramientas para apoyar las fases propuestas, como por ejemplo plantillas de entrevistas, hojas de ruta, planes de trabajo, planes de proyecto, gestor de vulnerabilidades...


¿Tienes en cuenta la seguridad en tu proceso de desarrollo? Si tienes dudas o directamente es una respuesta negativa, ya tienes por dónde empezar, además de forma totalmente gratuita y en tu idioma.

La versión original en inglés puede descargarse desde este enlace PDF [inglés], y su versión recién traducida al castellano, puede descargarse aquí.

4 comments :

Román Ramírez dijo...

:) Se les ha colado una bandera italiana junto a donde pone "spanish" en downloads...

Security By Default dijo...

¿No será mexicana? Además la versión del documento está como es_MX, así que mi voto va a que es mexicana!

Román Ramírez dijo...

Pues sí, es la bandera de México Lindo. He visto el verde y ya he pensado en "estos yanquis..."

hispabyte.net dijo...

Interesante informacion sobre OpenSAMM