Ciclo de Vida Seguro de Software (S-SDLC)
Profesor/a: JAVIER GARRIDO DÍAZ
Última versión revisada de la guía docente, debidamente informada por parte del profesor en la asignatura.
La seguridad de código y de programas es cada vez mas importante. El software ya no solo tiene que funcionar y hacerlo bien sino que además tiene que securizar todas las comunicaciones entre los agentes externos o servicios con los que se comunique así como representar un software seguro en cualquier infraestructura.
En esta asignatura revisaremos los diferentes métodos que podemos tener para securizar aplicaciones, aportar controles de acceso asi como usar diferentes modelos de cifrado de datos.
Veremos como integrar nuestros ciclos de vida de software tradicionales con los ciclos de vida seguros desde un punto de vista de la ingeniería así como desde el punto de vista del equipo técnico.
- Bloque I:
- Introducción a la Seguridad. SSDLC:
- Desarrollo Seguro:
- Autenticación. Autorización:
- Integridad:
- Cifrado:
- Auditoria:
- Análisis estático de código:
- Buenas Practicas del SSDLC:
- OWASP y el SSDLC:
- CI/CD y la Seguridad:
Las actividades de trabajo presencial se realizarán en el laboratorio. Para el desarrollo de las clases presenciales se utilizará diverso Software como entornos de desarrollo, virtualización de entornos, etc.
CB2. Que los estudiantes sepan aplicar sus conocimientos a su trabajo o vocación de una forma profesional y posean las competencias que suelen demostrarse por medio de la elaboración y defensa de argumentos y la resolución de problemas dentro de su área de estudio
CB5. Que los estudiantes hayan desarrollado aquellas habilidades de aprendizaje necesarias para emprender estudios posteriores con un alto grado de autonomía
CG02. Capacidad y habilidad para la toma de decisiones en el ámbito tecnológico
Conocer técnicas de desarrollo seguro.
Definir control de accesos e implementarlos
Implementar comunicaciones seguras en los desarrollos de software
Aplicar buenas prácticas a la hora de desarrollar el software
- Paul Rascagneres (2016), Seguridad Informática y Malwares, Ediciones ENI
https://owasp.org (Fundación sin animo de lucro encargada de definir modelos de seguridad para aplicaciones Software)
Material aportado por el docente en la impartición de la asignatura
Método dialéctico
Durante las sesiones de exposición de contenido y/o diapositivas, se plantearán cuestiones que intentarán llevar al alumno a la adquisición de los conceptos clave de la asignatura.
Método didáctico
Como norma general el profesor realizará exposiciones sobre el contenido del tema haciendo uso de los recursos habituales: proyecciones, pizarra, etc
Método heurístico
A pesar de que la teoría será la base de la asignatura, siempre se llevarán los conceptos a ejemplos prácticos.
Esta planificación estimada podrá verse modificada por causas ajenas a la organización académica primera presentada. El profesor informará convenientemente a los alumnos de las nuevas modificaciones puntuales.
El temario de la asignatura es el siguiente:
Tema 1. Introducción al SSDLC
Tema 2. Concepto de desarrollo Seguro
Tema 3. Autenticación. Autorización
Tema 4. Integridad
Tema 5. Cifrado
Tema 6. Auditoría
Tema 7. Analisis estático de Código
Tema 8. Buenas practicas del SSDLC
Tema 9. OWASP y el SSDLC.
Tema 10. Desarrollo seguro en el modelo del CI/CD.
La planificación estimada de la asignatura por semanas y temas es la siguiente:
Semana 1, 2 y 3. Tema 1 y 2.
Semana 4. Tema 3 y Presentación práctica 1.
Semana 5, 6 y 7. Tema 4 y Presentación práctica 2.
Semana 8, 9 y 10. Tema 5.
Semana 11, 12 y 13. Tema 6 y Presentación practica 3.
Semana 14. Tema 7. Presentación practica 4.
Semana 15. Terma 8, 9 y 10. Entrega de practicas finales
Sistema de evaluación | % Calificación final |
---|---|
Ejecución de prácticas | 80 |
Pruebas escritas | 20 |
Para superar la asignatura es necesario tener aprobar todas las partes de las que se compone la asignatura: Trabajos y Proyectos. Los Trabajos y Proyectos consistirán en una serie de prácticas que el alumno deberá desarrollar individualmente en horario de clase y fuera de él y que podrían tener que ser defendidas por el alumno. En el caso de que un alumno no supere alguna de las pruebas de evaluación, obtendrá la nota de suspenso en la convocatoria correspondiente, y deberá presentarse a la/s prueba/s no superada/s en la convocatoria siguiente.
El alumno deberá presentar y superar las prácticas de la asignatura, así como una prueba de evaluación. Se estima que se realicen 4 prácticas. Para superar las prácticas propuestas se deberá obtener al menos la nota de 5.0 en cada práctica presentada y evaluada, así como en la prueba de evaluación. Estas prácticas tiene un peso de 80% del valor de la nota, y cada una de ellas tiene el mismo peso dentro del apartado de practicas: es decir: cada práctica vale 2 puntos sobre el total de la nota de la asignatura.
Las partes evaluables que hayan sido superadas en la convocatoria ordinaria, son conservadas para la convocatoria extraordinaria, pero es necesario entregar y aprobar las practicas no superadas.
Aquellos alumnos que tengan adaptación curricular, deberán entregar todas las prácticas o trabajos, así como superar todas las pruebas que se hagan relacionadas con cada competencia.
La planificación de la evaluación tiene un carácter meramente orientativo y podrá ser modificada a criterio del profesor, en función de circunstancias externas y de la evolución del grupo. Los sistemas de evaluación descritos en esta GD son sensibles tanto a la evaluación de las competencias como de los contenidos de la asignatura. La realización fraudulenta de cualquiera de las pruebas de evaluación, así como la extracción de información de las pruebas de evaluación, será sancionada según lo descrito en el Reglamento 7/2015, de 20 de noviembre, de Régimen Disciplinario de los estudiantes, Arts. 4, 5 y 7 y derivarán en la pérdida de la convocatoria correspondiente, así como en el reflejo de la falta y de su motivo en el expediente académico del alumno.
Consideraciones de la Evaluación en la Convocatoria Extraordinaria
Para aquellos alumnos que se presenten en la convocatoria Extraordinaria, deberán entregar igualmente los trabajo y proyectos de la convocatoria Ordinaria. Los Trabajos y Proyectos consistirán en una serie de prácticas que el alumno deberá desarrollar individualmente en horario de clase y fuera de él y que podrian llegar a ser defendidas por el alumno. En el caso de que un alumno no supere alguna de las pruebas de evaluación, obtendrá la nota de suspenso en la convocatoria correspondiente.
En la convocatoria extraordinaria, el alumno deberá presentar y superar las prácticas de la asignatura, así como una prueba de evaluación. Se estima que se realicen 4 prácticas. Para superar las prácticas propuestas se deberá obtener al menos la nota de 5.0 en cada práctica presentada y evaluada, así como en la prueba de evaluación. Estas prácticas tiene un peso de 80% del valor de la nota, y cada una de ellas tiene el mismo peso dentro del apartado de practicas: es decir: cada práctica vale 2 puntos sobre el total de la nota de la asignatura.
Las partes evaluables que hayan sido superadas en la convocatoria ordinaria, son conservadas para la convocatoria extraordinaria, pero es necesario presentarlas en la convocatoria extraordinaria.
Aquellos alumnos que tengan adaptación curricular, deberán entregar todas las prácticas o trabajos, así como superar todas las pruebas que se hagan relacionadas con cada competencia.
La planificación de la evaluación tiene un carácter meramente orientativo y podrá ser modificada a criterio del profesor, en función de circunstancias externas y de la evolución del grupo. Los sistemas de evaluación descritos en esta GD son sensibles tanto a la evaluación de las competencias como de los contenidos de la asignatura. La realización fraudulenta de cualquiera de las pruebas de evaluación, así como la extracción de información de las pruebas de evaluación, será sancionada según lo descrito en el Reglamento 7/2015, de 20 de noviembre, de Régimen Disciplinario de los estudiantes, Arts. 4, 5 y 7 y derivarán en la pérdida de la convocatoria correspondiente, así como en el reflejo de la falta y de su motivo en el expediente académico del alumno.
CV Docente
Docente en la Universidad Europea Miguel de Cervantes desde el año 2008
Docente a nivel profesional para diferentes empresas en tecnologías muy específicas de ultima generación
Docente en diferentes academias tecnológicas.
CV Profesional
Jefe de Arquitectura de Software de una de las principales consultores tecnológicas del sector
Responsable de Desarrollo, I+D y Analista / Desarrollador en diversas empresas utilizando tecnologías como .NET, Java, iOS, Android.
He desarrollado más de 50 proyectos TIC de diversa índole: tanto web, como escritorio, como movilidad, sistemas embebidos, etc.
CV Investigación
Durante un periodo en la Universidad, pertenecí al grupo de innovación educativa, donde nos esforzábamos en ofrecer al alumno medios de aprendizaje adicionales.
Además, durante un periodo laboral en empresa fue el responsable de I+D+i