SSDLC BSIMM OWASP Flashcards
1
Q
¿Qué significa SSDLC?
A
SSDLC son las siglas de Security Software Development Life Cycle, que se refiere a la integración de prácticas de seguridad en cada etapa del ciclo de vida del desarrollo de software.
2
Q
¿Cuáles son las etapas principales del SSDLC?
A
Las etapas principales del SSDLC incluyen planificación, análisis de requisitos, diseño, implementación, pruebas, despliegue y mantenimiento, con un enfoque en la seguridad en cada fase.
3
Q
¿Cuál es la ventaja principal de implementar SSDLC?
A
La principal ventaja es la identificación y mitigación temprana de vulnerabilidades, lo que reduce costos y mejora la seguridad del software final.
4
Q
¿Cómo se integra DevSecOps en el SSDLC?
A
DevSecOps integra prácticas de seguridad en el proceso de desarrollo continuo, automatizando la seguridad y fomentando la colaboración entre desarrolladores, operaciones y equipos de seguridad.
5
Q
¿Qué es el modelo BSIMM?
A
BSIMM (Building Security In Maturity Model) es un modelo de evaluación de prácticas de seguridad en el desarrollo de software basado en observaciones de múltiples organizaciones.
6
Q
¿Qué objetivos tiene el modelo OWASP?
A
OWASP (Open Web Application Security Project) tiene como objetivo mejorar la seguridad de las aplicaciones web mediante la creación de estándares, herramientas y mejores prácticas.
7
Q
¿Cuál es una de las principales etapas del SSDLC relacionada con el diseño?
A
Una de las principales etapas es la revisión de la arquitectura y diseño para identificar posibles amenazas y vulnerabilidades desde el inicio.
8
Q
¿Qué rol juega la automatización en DevSecOps?
A
La automatización en DevSecOps permite integrar herramientas de seguridad en el pipeline de desarrollo, facilitando pruebas continuas y detección temprana de fallos de seguridad.
9
Q
¿Cómo contribuye el SSDLC a la reducción de costos?
A
Al detectar y solucionar problemas de seguridad en etapas tempranas, se evitan costosas reparaciones posteriores y se minimizan los riesgos de incidentes de seguridad.
10
Q
¿Qué es una revisión de código estático en el SSDLC?
A
Es una técnica de análisis de código que examina el código fuente para identificar vulnerabilidades de seguridad sin ejecutarlo.
11
Q
¿Cómo se aplica el principio de seguridad por diseño en el SSDLC?
A
Incorporando consideraciones de seguridad desde el inicio del diseño del software, asegurando que las arquitecturas y componentes sean seguros.
12
Q
¿Qué es una amenaza en el contexto del SSDLC?
A
Una amenaza es cualquier circunstancia o evento con el potencial de causar daño o explotar una vulnerabilidad en el software.
13
Q
¿Cómo se realiza el análisis de riesgos en el SSDLC?
A
Identificando activos, amenazas y vulnerabilidades, evaluando el impacto y la probabilidad, y definiendo medidas de mitigación.
14
Q
¿Qué es una prueba de penetración en el SSDLC?
A
Es una simulación de ataque controlado para identificar y explotar vulnerabilidades de seguridad en el software.
15
Q
¿Qué papel juega la gestión de dependencias en el SSDLC?
A
Asegura que las bibliotecas y componentes externos utilizados en el software sean seguros y estén actualizados para prevenir vulnerabilidades.
16
Q
¿Cómo se integra la formación en seguridad en el SSDLC?
A
Proporcionando capacitación continua a los desarrolladores y equipos sobre las mejores prácticas y nuevas amenazas de seguridad.
17
Q
¿Qué es un análisis de impacto de seguridad?
A
Es la evaluación de cómo un cambio en el software puede afectar la postura de seguridad general del sistema.
18
Q
¿Cuál es la diferencia entre SSDLC y SDLC?
A
SSDLC incorpora consideraciones de seguridad en cada etapa del SDLC (Software Development Life Cycle), que se centra en el desarrollo general del software.
19
Q
¿Qué es la gestión de vulnerabilidades en el SSDLC?
A
Es el proceso continuo de identificar, evaluar, tratar y reportar vulnerabilidades en el software.
20
Q
¿Cómo contribuye el SSDLC a la conformidad normativa?
A
Asegurando que el desarrollo del software cumpla con las normativas y estándares de seguridad aplicables desde el inicio.
21
Q
¿Qué es un modelo de madurez de seguridad como BSIMM?
A
Es un marco que ayuda a las organizaciones a evaluar y mejorar sus prácticas de seguridad en el desarrollo de software.
22
Q
¿Cuáles son los beneficios de utilizar el modelo OWASP en el SSDLC?
A
Proporciona directrices claras, mejores prácticas y herramientas para mejorar la seguridad de las aplicaciones web durante su desarrollo.
23
Q
¿Qué es una política de seguridad en el SSDLC?
A
Es un conjunto de reglas y directrices que definen cómo se debe abordar la seguridad en el desarrollo y mantenimiento del software.
24
Q
¿Cómo se realiza la gestión de configuraciones en el SSDLC?
A
Controlando y documentando las configuraciones de software para asegurar que se mantengan seguras y consistentes a lo largo del tiempo.
25
¿Qué es la integración continua (CI) en el contexto de DevSecOps?
Es la práctica de fusionar regularmente cambios de código en un repositorio compartido, donde se realizan pruebas automáticas, incluyendo pruebas de seguridad.
26
¿Qué herramientas se utilizan comúnmente para el análisis estático de código?
SonarQube, Checkmarx, Fortify, entre otras.
27
¿Qué es la seguridad de las aplicaciones en tiempo de ejecución?
Es la protección del software mientras está siendo ejecutado, monitoreando y defendiendo contra ataques en tiempo real.
28
¿Cómo se implementa la autenticación en el SSDLC?
Diseñando mecanismos robustos de autenticación desde el inicio, como multifactor, y asegurando que sean correctamente integrados y probados.
29
¿Qué es el principio de menor privilegio?
Es una práctica de seguridad que limita el acceso de usuarios y componentes solo a los recursos necesarios para realizar sus funciones.
30
¿Cómo se gestionan las actualizaciones de seguridad en el SSDLC?
Estableciendo procesos para aplicar parches y actualizaciones de manera oportuna y verificar que no introduzcan nuevas vulnerabilidades.
31
¿Qué es el análisis de amenazas?
Es el proceso de identificar y evaluar posibles amenazas que podrían explotar vulnerabilidades en el software.
32
¿Cuál es el objetivo principal de las pruebas de seguridad en el SSDLC?
Identificar y corregir vulnerabilidades antes de que el software sea desplegado en producción.
33
¿Qué es un ciclo de retroalimentación en DevSecOps?
Es el proceso continuo de recopilar información sobre el rendimiento y la seguridad del software para mejorar iterativamente las prácticas de desarrollo.
34
¿Cómo se aplica el principio de defensa en profundidad en el SSDLC?
Implementando múltiples capas de seguridad para proteger el software, de modo que si una capa falla, las otras continúan ofreciendo protección.
35
¿Qué es una revisión de seguridad en el diseño?
Es una evaluación formal del diseño del software para identificar y mitigar riesgos de seguridad antes de la implementación.
36
¿Qué papel juegan las pruebas dinámicas de seguridad en el SSDLC?
Permiten identificar vulnerabilidades ejecutando el software en un entorno controlado y observando su comportamiento bajo diferentes condiciones.
37
¿Qué es la codificación segura?
Es la práctica de escribir código que minimiza las vulnerabilidades de seguridad y sigue las mejores prácticas de seguridad.
38
¿Cómo se realiza la gestión de incidentes en el SSDLC?
Estableciendo procedimientos para identificar, responder y recuperarse de incidentes de seguridad de manera eficiente.
39
¿Qué es la criptografía en el SSDLC?
Es el uso de técnicas criptográficas para proteger la confidencialidad, integridad y autenticidad de los datos en el software.
40
¿Qué es un modelo de amenazas?
Es una representación estructurada de las posibles amenazas que pueden afectar al software, ayudando a identificar y mitigar riesgos.
41
¿Cómo se integra la privacidad de los datos en el SSDLC?
Incorporando principios de privacidad desde el diseño, asegurando que el manejo de datos personales cumpla con las regulaciones pertinentes.
42
¿Qué es la separación de deberes en el SSDLC?
Es una práctica que divide responsabilidades para evitar conflictos de interés y reducir el riesgo de errores o abusos.
43
¿Qué es una política de manejo de secretos?
Es un conjunto de directrices para gestionar y proteger información sensible como contraseñas, claves API y certificados.
44
¿Cómo se implementa la seguridad en la fase de despliegue?
Asegurando que el entorno de producción esté configurado de manera segura y que se realicen pruebas finales de seguridad antes del lanzamiento.
45
¿Qué es una revisión post-mortem de seguridad?
Es una evaluación realizada después de un incidente de seguridad para analizar causas, efectos y mejorar futuras respuestas.
46
¿Cuál es la importancia de la documentación en el SSDLC?
Proporciona un registro claro de las decisiones de seguridad, configuraciones y procedimientos, facilitando el mantenimiento y auditorías.
47
¿Qué es el análisis de código fuente para seguridad?
Es la revisión del código fuente para identificar y corregir vulnerabilidades de seguridad antes de la compilación.
48
¿Cómo se manejan las dependencias de terceros en el SSDLC?
Evaluando la seguridad de bibliotecas y componentes externos, manteniéndolos actualizados y monitoreando vulnerabilidades conocidas.
49
¿Qué es una política de gestión de parches?
Es un conjunto de directrices para aplicar actualizaciones de software de manera oportuna para corregir vulnerabilidades de seguridad.
50
¿Cómo contribuye la arquitectura segura al SSDLC?
Proporcionando una base sólida y resistente a ataques desde el diseño, facilitando la implementación de medidas de seguridad efectivas.
51
¿Qué es una prueba de seguridad automatizada?
Es una herramienta que ejecuta pruebas de seguridad de forma automática durante el ciclo de desarrollo para detectar vulnerabilidades rápidamente.
52
¿Cómo se asegura la integridad del software en el SSDLC?
Implementando controles como firmas digitales, verificaciones de hash y revisiones de código para garantizar que el software no ha sido alterado.
53
¿Qué es la resiliencia de seguridad?
Es la capacidad del software para resistir, adaptarse y recuperarse de incidentes de seguridad.
54
¿Cómo se gestiona la configuración segura en el SSDLC?
Definiendo y aplicando configuraciones predeterminadas seguras y revisando regularmente para asegurar que se mantengan.
55
¿Qué es un plan de respuesta a incidentes?
Es un documento que describe los procedimientos a seguir en caso de un incidente de seguridad para minimizar el impacto y restaurar la normalidad.
56
¿Cómo se integra la auditoría de seguridad en el SSDLC?
Realizando revisiones periódicas y auditorías para asegurar que se cumplen las políticas y estándares de seguridad establecidos.
57
¿Qué es la minimización de la superficie de ataque?
Es la práctica de reducir la cantidad de vectores de ataque disponibles en el software para dificultar su explotación.
58
¿Cómo se aplican las pruebas de penetración en el SSDLC?
Realizando simulaciones de ataques para identificar y corregir vulnerabilidades antes del despliegue del software.
59
¿Qué es la gestión de identidades y accesos en el SSDLC?
Es la implementación de controles que aseguran que solo los usuarios autorizados tengan acceso a recursos y funcionalidades específicas.
60
¿Cómo se asegura la disponibilidad en el SSDLC?
Implementando redundancias, mecanismos de recuperación y prácticas de mantenimiento para garantizar que el software esté disponible cuando se necesite.
61
¿Qué es la seguridad basada en roles (RBAC)?
Es un modelo de control de acceso donde los permisos se asignan a roles específicos en lugar de a usuarios individuales.
62
¿Cómo se integran las pruebas de seguridad en el pipeline de CI/CD?
Incorporando herramientas de análisis de seguridad en cada etapa del pipeline para detectar vulnerabilidades de manera continua.
63
¿Qué es el análisis de vulnerabilidades?
Es el proceso de identificar, clasificar y remediar vulnerabilidades en el software.
64
¿Cómo se realiza la validación de seguridad en el SSDLC?
Verificando que todas las medidas de seguridad implementadas cumplen con los requisitos y estándares definidos.
65
¿Qué es la seguridad en el desarrollo ágil?
Es la incorporación de prácticas de seguridad dentro de las metodologías ágiles, asegurando que la seguridad no se postponga.
66
¿Cómo se implementa el principio de 'fail secure' en el SSDLC?
Diseñando el software de manera que, en caso de fallo, permanezca en un estado seguro y no exponga datos sensibles.
67
¿Qué es el análisis de código dinámico?
Es la evaluación del software en ejecución para identificar comportamientos inseguros o vulnerabilidades.
68
¿Cómo se aplica la seguridad en la fase de mantenimiento del SSDLC?
Monitoreando continuamente, aplicando actualizaciones de seguridad y respondiendo a incidentes para mantener la seguridad del software.
69
¿Qué es una política de gestión de cambios?
Es un conjunto de procedimientos para controlar cómo se implementan los cambios en el software, asegurando que no introduzcan vulnerabilidades.
70
¿Cómo contribuye la gestión de la configuración a la seguridad en el SSDLC?
Asegurando que todas las configuraciones sean consistentes y seguras, y que cualquier cambio se gestione de manera controlada.
71
¿Qué es la seguridad de la cadena de suministro de software?
Es la práctica de asegurar que todos los componentes y dependencias externas del software sean seguros y confiables.
72
¿Cómo se gestiona la privacidad de los datos en el SSDLC?
Implementando técnicas como el cifrado, el anonimizado y asegurando el cumplimiento de regulaciones de protección de datos.
73
¿Qué es la resistencia a la ingeniería social en el SSDLC?
Es el diseño del software de manera que minimice la exposición a ataques de ingeniería social, como phishing o manipulación de usuarios.
74
¿Cómo se asegura la interoperabilidad segura en el SSDLC?
Garantizando que las interacciones entre componentes y sistemas cumplan con los estándares de seguridad y no introduzcan vulnerabilidades.
75
¿Qué es la seguridad de la API en el SSDLC?
Es la implementación de medidas de seguridad para proteger las interfaces de programación de aplicaciones contra accesos no autorizados y abusos.
76
¿Cómo se implementa la seguridad en el diseño de la base de datos?
Aplicando controles de acceso, cifrado de datos sensibles y asegurando que las consultas sean seguras para prevenir inyecciones SQL.
77
¿Qué es el principio de 'defensa contra la adversidad'?
Es la creación de mecanismos que dificultan que un atacante comprometa el sistema, incluso si intenta hacerlo repetidamente.
78
¿Cómo se gestiona la seguridad en el ciclo de vida del software móvil?
Incorporando prácticas de seguridad específicas para plataformas móviles, como el cifrado de datos y la gestión segura de permisos.
79
¿Qué es la seguridad en el ciclo de vida de las aplicaciones?
Es la integración de medidas de seguridad en cada fase, desde el diseño hasta el mantenimiento, para proteger las aplicaciones contra amenazas.
80
¿Cómo se realiza una evaluación de seguridad en el SSDLC?
Mediante auditorías, pruebas de penetración, análisis de código y revisiones de diseño para identificar y corregir vulnerabilidades.
81
¿Qué es el principio de 'economía de mecanismos' en seguridad?
Es el diseño de sistemas con la menor complejidad necesaria para reducir las posibilidades de errores y vulnerabilidades.
82
¿Cómo se aplican las mejores prácticas de OWASP en el SSDLC?
Siguiendo las directrices y recomendaciones de OWASP para identificar y mitigar vulnerabilidades comunes durante el desarrollo.
83
¿Qué es la gestión de secretos en DevSecOps?
Es el proceso de almacenar, rotar y acceder de manera segura a credenciales y claves utilizadas por las aplicaciones.
84
¿Cómo se integra la seguridad en la fase de pruebas del SSDLC?
Incluyendo pruebas de seguridad específicas, como análisis de vulnerabilidades y pruebas de penetración, además de las pruebas funcionales.
85
¿Qué es el principio de 'seguridad por defecto'?
Es la configuración del software con las opciones de seguridad más restrictivas como predeterminadas para minimizar riesgos.
86
¿Cómo se maneja la seguridad en el despliegue continuo (CD) dentro de DevSecOps?
Automatizando la verificación de seguridad en cada despliegue para asegurar que solo el software seguro se implemente en producción.
87
¿Qué es el control de acceso basado en atributos (ABAC)?
Es un modelo de control de acceso que utiliza atributos de usuarios, recursos y entorno para tomar decisiones de acceso.
88
¿Cómo se implementa la seguridad en el diseño de la interfaz de usuario?
Garantizando que la interfaz no exponga información sensible y que las interacciones del usuario sean seguras contra ataques como XSS.
89
¿Qué es el principio de 'fallar seguro'?
Es la práctica de diseñar sistemas de manera que, en caso de fallo, no se comprometa la seguridad ni se exponga información sensible.
90
¿Cómo se asegura la integridad de los datos en el SSDLC?
Mediante técnicas como el hashing, las firmas digitales y controles de acceso para garantizar que los datos no sean alterados sin autorización.
91
¿Qué es la autenticación multifactor (MFA)?
Es un método de autenticación que requiere múltiples formas de verificación para acceder al sistema, mejorando la seguridad.
92
¿Cómo se implementa el cifrado en el SSDLC?
Aplicando algoritmos de cifrado para proteger datos en tránsito y en reposo, asegurando que solo usuarios autorizados puedan acceder a ellos.
93
¿Qué es una política de seguridad de desarrollo?
Es un documento que establece las normas y prácticas que deben seguirse para asegurar el desarrollo seguro del software.
94
¿Cómo se maneja la seguridad en la fase de mantenimiento del SSDLC?
Aplicando actualizaciones de seguridad, monitoreando vulnerabilidades y respondiendo a incidentes para mantener la seguridad del software.
95
¿Qué es la seguridad basada en roles (RBAC) en el SSDLC?
Es una estrategia de control de acceso donde los permisos se asignan a roles específicos y los usuarios obtienen permisos a través de sus roles.
96
¿Cómo se integran las pruebas de seguridad en un pipeline CI/CD?
Incluyendo herramientas de análisis de seguridad automatizado que ejecutan pruebas en cada integración y despliegue continuo.
97
¿Qué es la gestión de incidentes en el SSDLC?
Es el proceso de identificar, analizar y responder a incidentes de seguridad para minimizar su impacto y prevenir recurrencias.
98
¿Cómo se asegura la disponibilidad del software en el SSDLC?
Implementando redundancias, planes de recuperación ante desastres y monitoreando continuamente el rendimiento del sistema.
99
¿Qué es la validación de entradas en el SSDLC?
Es la práctica de verificar y sanitizar las entradas de los usuarios para prevenir ataques como inyección de código y cross-site scripting.
100
¿Cómo se implementa la seguridad en la fase de diseño del SSDLC?
Identificando amenazas, definiendo controles de seguridad y creando arquitecturas que mitiguen riesgos potenciales desde el inicio.
101
¿Qué es una política de manejo de vulnerabilidades?
Es un conjunto de directrices para identificar, evaluar y corregir vulnerabilidades de seguridad en el software de manera sistemática.
102
¿Cómo contribuye el SSDLC a la conformidad con normativas como GDPR?
Asegurando que el desarrollo del software incluya medidas para proteger datos personales y cumplir con los requisitos de privacidad.
103
¿Qué es el principio de 'seguridad por capas'?
Es la implementación de múltiples medidas de seguridad en diferentes niveles para proteger el software contra una variedad de amenazas.
104
¿Cómo se realiza la monitorización de seguridad en el SSDLC?
Implementando herramientas que detectan y alertan sobre comportamientos sospechosos o intentos de explotación en tiempo real.
105
¿Qué es la seguridad de la comunicación en el SSDLC?
Es la protección de los datos durante su transmisión entre componentes del sistema mediante técnicas como el cifrado y protocolos seguros.
106
¿Cómo se asegura la trazabilidad de los requisitos de seguridad en el SSDLC?
Documentando y rastreando cómo se abordan los requisitos de seguridad en cada etapa del desarrollo.
107
¿Qué es el análisis de código dinámico (DAST)?
Es una técnica de pruebas que evalúa el comportamiento del software en ejecución para identificar vulnerabilidades de seguridad.
108
¿Cómo se gestiona la seguridad en entornos de desarrollo colaborativo?
Implementando controles de acceso, revisiones de código y herramientas de colaboración que respeten las políticas de seguridad.
109
¿Qué es el principio de 'mínimos privilegios'?
Es una práctica de seguridad que limita los permisos de usuarios y componentes solo a los necesarios para realizar sus funciones.
110
¿Cómo se implementa la seguridad en la fase de implementación del SSDLC?
Asegurando que el entorno de producción esté configurado de manera segura y que se realicen pruebas de seguridad antes del lanzamiento.
111
¿Qué es el principio de 'separación de responsabilidades'?
Es la división de tareas y permisos entre diferentes roles para reducir el riesgo de abuso y errores de seguridad.
112
¿Cómo se asegura la integridad del software en el SSDLC?
Mediante controles como firmas digitales, verificaciones de hash y revisiones de código para garantizar que el software no ha sido alterado.
113
¿Qué es la resiliencia en la seguridad del software?
Es la capacidad del software para resistir, adaptarse y recuperarse de incidentes de seguridad.
114
¿Cómo se gestiona la seguridad en el ciclo de vida de aplicaciones móviles?
Incorporando prácticas de seguridad específicas para plataformas móviles, como la protección de datos y la gestión segura de permisos.
115
¿Qué es una auditoría de seguridad en el SSDLC?
Es una revisión sistemática de los procesos y prácticas de seguridad implementados durante el desarrollo del software.
116
¿Cómo contribuye el SSDLC a la mejora continua de la seguridad?
Proporcionando un marco estructurado para evaluar, implementar y refinar continuamente las prácticas de seguridad en el desarrollo de software.
117
¿Qué es la gestión de secretos en DevSecOps?
Es el proceso de almacenar, rotar y acceder de manera segura a credenciales y claves utilizadas por las aplicaciones.
118
¿Cómo se implementa la seguridad en la fase de pruebas del SSDLC?
Incluyendo pruebas de seguridad específicas, como análisis de vulnerabilidades y pruebas de penetración, además de las pruebas funcionales.
119
¿Qué es el principio de 'seguridad por defecto'?
Es la configuración del software con las opciones de seguridad más restrictivas como predeterminadas para minimizar riesgos.
120
¿Cómo se maneja la seguridad en el despliegue continuo (CD) dentro de DevSecOps?
Automatizando la verificación de seguridad en cada despliegue para asegurar que solo el software seguro se implemente en producción.
121
¿Qué es el control de acceso basado en atributos (ABAC)?
Es un modelo de control de acceso que utiliza atributos de usuarios, recursos y entorno para tomar decisiones de acceso.
122
¿Cómo se implementa la seguridad en el diseño de la interfaz de usuario?
Garantizando que la interfaz no exponga información sensible y que las interacciones del usuario sean seguras contra ataques como XSS.
123
¿Qué es el principio de 'fail secure'?
Es la práctica de diseñar sistemas de manera que, en caso de fallo, no se comprometa la seguridad ni se exponga información sensible.
124
¿Cómo se asegura la integridad de los datos en el SSDLC?
Mediante técnicas como el hashing, las firmas digitales y controles de acceso para garantizar que los datos no sean alterados sin autorización.
125
¿Qué es la autenticación multifactor (MFA)?
Es un método de autenticación que requiere múltiples formas de verificación para acceder al sistema, mejorando la seguridad.
126
¿Cómo se implementa el cifrado en el SSDLC?
Aplicando algoritmos de cifrado para proteger datos en tránsito y en reposo, asegurando que solo usuarios autorizados puedan acceder a ellos.
127
¿Qué es una política de seguridad de desarrollo?
Es un documento que establece las normas y prácticas que deben seguirse para asegurar el desarrollo seguro del software.
128
¿Cómo se maneja la seguridad en la fase de mantenimiento del SSDLC?
Aplicando actualizaciones de seguridad, monitoreando vulnerabilidades y respondiendo a incidentes para mantener la seguridad del software.
129
¿Qué es la seguridad basada en roles (RBAC) en el SSDLC?
Es una estrategia de control de acceso donde los permisos se asignan a roles específicos y los usuarios obtienen permisos a través de sus roles.
130
¿Cómo se integran las pruebas de seguridad en un pipeline CI/CD?
Incluyendo herramientas de análisis de seguridad automatizado que ejecutan pruebas en cada integración y despliegue continuo.
131
¿Qué es la gestión de incidentes en el SSDLC?
Es el proceso de identificar, analizar y responder a incidentes de seguridad para minimizar su impacto y prevenir recurrencias.
132
¿Cómo se asegura la disponibilidad del software en el SSDLC?
Implementando redundancias, planes de recuperación ante desastres y monitoreando continuamente el rendimiento del sistema.
133
¿Qué es la validación de entradas en el SSDLC?
Es la práctica de verificar y sanitizar las entradas de los usuarios para prevenir ataques como inyección de código y cross-site scripting.
134
¿Cómo se implementa la seguridad en la fase de diseño del SSDLC?
Identificando amenazas, definiendo controles de seguridad y creando arquitecturas que mitiguen riesgos potenciales desde el inicio.
135
¿Qué es una política de manejo de vulnerabilidades?
Es un conjunto de directrices para identificar, evaluar y corregir vulnerabilidades de seguridad en el software de manera sistemática.
136
¿Cómo contribuye el SSDLC a la conformidad con normativas como GDPR?
Asegurando que el desarrollo del software incluya medidas para proteger datos personales y cumplir con los requisitos de privacidad.
137
¿Qué es el principio de 'seguridad por capas'?
Es la implementación de múltiples medidas de seguridad en diferentes niveles para proteger el software contra una variedad de amenazas.
138
¿Cómo se realiza la monitorización de seguridad en el SSDLC?
Implementando herramientas que detectan y alertan sobre comportamientos sospechosos o intentos de explotación en tiempo real.
139
¿Qué es la seguridad de la comunicación en el SSDLC?
Es la protección de los datos durante su transmisión entre componentes del sistema mediante técnicas como el cifrado y protocolos seguros.
140
¿Cómo se asegura la trazabilidad de los requisitos de seguridad en el SSDLC?
Documentando y rastreando cómo se abordan los requisitos de seguridad en cada etapa del desarrollo.
141
¿Qué es el análisis de código dinámico (DAST)?
Es una técnica de pruebas que evalúa el comportamiento del software en ejecución para identificar vulnerabilidades de seguridad.
142
¿Cómo se gestiona la seguridad en entornos de desarrollo colaborativo?
Implementando controles de acceso, revisiones de código y herramientas de colaboración que respeten las políticas de seguridad.
143
¿Qué es el principio de 'mínimos privilegios'?
Es una práctica de seguridad que limita los permisos de usuarios y componentes solo a los necesarios para realizar sus funciones.
144
¿Cómo se implementa la seguridad en la fase de implementación del SSDLC?
Asegurando que el entorno de producción esté configurado de manera segura y que se realicen pruebas de seguridad antes del lanzamiento.
145
¿Qué es el principio de 'separación de responsabilidades'?
Es la división de tareas y permisos entre diferentes roles para reducir el riesgo de abuso y errores de seguridad.
146
¿Cómo se asegura la integridad del software en el SSDLC?
Mediante controles como firmas digitales, verificaciones de hash y revisiones de código para garantizar que el software no ha sido alterado.
147
¿Qué es la resiliencia en la seguridad del software?
Es la capacidad del software para resistir, adaptarse y recuperarse de incidentes de seguridad.
148
¿Cómo se gestiona la seguridad en el ciclo de vida de aplicaciones móviles?
Incorporando prácticas de seguridad específicas para plataformas móviles, como la protección de datos y la gestión segura de permisos.
149
¿Qué es una auditoría de seguridad en el SSDLC?
Es una revisión sistemática de los procesos y prácticas de seguridad implementados durante el desarrollo del software.
150
¿Cómo contribuye el SSDLC a la mejora continua de la seguridad?
Proporcionando un marco estructurado para evaluar, implementar y refinar continuamente las prácticas de seguridad en el desarrollo de software.
151
¿Qué es la gestión de secretos en DevSecOps?
Es el proceso de almacenar, rotar y acceder de manera segura a credenciales y claves utilizadas por las aplicaciones.
152
¿Cómo se implementa la seguridad en la fase de pruebas del SSDLC?
Incluyendo pruebas de seguridad específicas, como análisis de vulnerabilidades y pruebas de penetración, además de las pruebas funcionales.
153
¿Qué es el principio de 'seguridad por defecto'?
Es la configuración del software con las opciones de seguridad más restrictivas como predeterminadas para minimizar riesgos.
154
¿Cómo se maneja la seguridad en el despliegue continuo (CD) dentro de DevSecOps?
Automatizando la verificación de seguridad en cada despliegue para asegurar que solo el software seguro se implemente en producción.
155
¿Qué es el control de acceso basado en atributos (ABAC)?
Es un modelo de control de acceso que utiliza atributos de usuarios, recursos y entorno para tomar decisiones de acceso.
156
¿Cómo se implementa la seguridad en el diseño de la interfaz de usuario?
Garantizando que la interfaz no exponga información sensible y que las interacciones del usuario sean seguras contra ataques como XSS.
157
¿Qué es el principio de 'fail secure'?
Es la práctica de diseñar sistemas de manera que, en caso de fallo, no se comprometa la seguridad ni se exponga información sensible.
158
¿Cómo se asegura la integridad de los datos en el SSDLC?
Mediante técnicas como el hashing, las firmas digitales y controles de acceso para garantizar que los datos no sean alterados sin autorización.
159
¿Qué es la autenticación multifactor (MFA)?
Es un método de autenticación que requiere múltiples formas de verificación para acceder al sistema, mejorando la seguridad.
160
¿Cómo se implementa el cifrado en el SSDLC?
Aplicando algoritmos de cifrado para proteger datos en tránsito y en reposo, asegurando que solo usuarios autorizados puedan acceder a ellos.
161
¿Qué es una política de seguridad de desarrollo?
Es un documento que establece las normas y prácticas que deben seguirse para asegurar el desarrollo seguro del software.
162
¿Cómo se maneja la seguridad en la fase de mantenimiento del SSDLC?
Aplicando actualizaciones de seguridad, monitoreando vulnerabilidades y respondiendo a incidentes para mantener la seguridad del software.
163
¿Qué es la seguridad basada en roles (RBAC) en el SSDLC?
Es una estrategia de control de acceso donde los permisos se asignan a roles específicos y los usuarios obtienen permisos a través de sus roles.
164
¿Cómo se integran las pruebas de seguridad en un pipeline CI/CD?
Incluyendo herramientas de análisis de seguridad automatizado que ejecutan pruebas en cada integración y despliegue continuo.
165
¿Qué es la gestión de incidentes en el SSDLC?
Es el proceso de identificar, analizar y responder a incidentes de seguridad para minimizar su impacto y prevenir recurrencias.
166
¿Cómo se asegura la disponibilidad del software en el SSDLC?
Implementando redundancias, planes de recuperación ante desastres y monitoreando continuamente el rendimiento del sistema.
167
¿Qué es la validación de entradas en el SSDLC?
Es la práctica de verificar y sanitizar las entradas de los usuarios para prevenir ataques como inyección de código y cross-site scripting.
168
¿Cómo se implementa la seguridad en la fase de diseño del SSDLC?
Identificando amenazas, definiendo controles de seguridad y creando arquitecturas que mitiguen riesgos potenciales desde el inicio.
169
¿Qué es una política de manejo de vulnerabilidades?
Es un conjunto de directrices para identificar, evaluar y corregir vulnerabilidades de seguridad en el software de manera sistemática.
170
¿Cómo contribuye el SSDLC a la conformidad con normativas como GDPR?
Asegurando que el desarrollo del software incluya medidas para proteger datos personales y cumplir con los requisitos de privacidad.
171
¿Qué es el principio de 'seguridad por capas'?
Es la implementación de múltiples medidas de seguridad en diferentes niveles para proteger el software contra una variedad de amenazas.
172
¿Cómo se realiza la monitorización de seguridad en el SSDLC?
Implementando herramientas que detectan y alertan sobre comportamientos sospechosos o intentos de explotación en tiempo real.
173
¿Qué es la seguridad de la comunicación en el SSDLC?
Es la protección de los datos durante su transmisión entre componentes del sistema mediante técnicas como el cifrado y protocolos seguros.
174
¿Cómo se asegura la trazabilidad de los requisitos de seguridad en el SSDLC?
Documentando y rastreando cómo se abordan los requisitos de seguridad en cada etapa del desarrollo.
175
¿Qué es el análisis de código dinámico (DAST)?
Es una técnica de pruebas que evalúa el comportamiento del software en ejecución para identificar vulnerabilidades de seguridad.
176
¿Cómo se gestiona la seguridad en entornos de desarrollo colaborativo?
Implementando controles de acceso, revisiones de código y herramientas de colaboración que respeten las políticas de seguridad.
177
¿Qué es el principio de 'mínimos privilegios'?
Es una práctica de seguridad que limita los permisos de usuarios y componentes solo a los necesarios para realizar sus funciones.
178
¿Cómo se implementa la seguridad en la fase de implementación del SSDLC?
Asegurando que el entorno de producción esté configurado de manera segura y que se realicen pruebas de seguridad antes del lanzamiento.
179
¿Qué es el principio de 'separación de responsabilidades'?
Es la división de tareas y permisos entre diferentes roles para reducir el riesgo de abuso y errores de seguridad.
180
¿Cómo se asegura la integridad del software en el SSDLC?
Mediante controles como firmas digitales, verificaciones de hash y revisiones de código para garantizar que el software no ha sido alterado.
181
¿Qué es la resiliencia en la seguridad del software?
Es la capacidad del software para resistir, adaptarse y recuperarse de incidentes de seguridad.
182
¿Cómo se gestiona la seguridad en el ciclo de vida de aplicaciones móviles?
Incorporando prácticas de seguridad específicas para plataformas móviles, como la protección de datos y la gestión segura de permisos.
183
¿Qué es una auditoría de seguridad en el SSDLC?
Es una revisión sistemática de los procesos y prácticas de seguridad implementados durante el desarrollo del software.
184
¿Cómo contribuye el SSDLC a la mejora continua de la seguridad?
Proporcionando un marco estructurado para evaluar, implementar y refinar continuamente las prácticas de seguridad en el desarrollo de software.
