PROBLEMAS DE SEGURIDAD EN SOFTWARE
Páginas: 16 (3802 palabras)
Publicado: 5 de julio de 2014
Tabla de contenido
PROBLEMAS DE SEGURIDAD EN SOFTWARE
El software en los días presentes, es un elemento clave en los actuales sistemas de control incluidos, los de seguridad crítica, en los que una falla puede causar daños irreparables tanto a las personas como al entorno.
Puesto que el software ni envejece ni se estropea, la calidad de éste dependerá principalmente de los defectosque se introduzcan en la fase de codificación.
Es por esto que cualquier técnica que eliminé estos defectos en la fase de creación, permiten aumentar las calidad del producto reduciendo ampliamente los costos de implementación. Para este evitar este tipo de percances existen las herramientas de análisis estático, las cuales pueden y permiten localizar código defectuoso o errores de programaciónsin siquiera ejecutar el código.
El ciclo de desarrollo incluye habitualmente varias etapas como son: la especificación, diseño, codificación del software, integración de módulos, integración con el hardware y validación del software y sistema, esto es conocido como el ciclo de vida del software.
Dentro de este proceso un punto clave es el proceso de verificación que se debe realizar siempre alfinal de una de las fases y mucho antes de comenzar otra, es para esto que nos ayudan las herramientas de análisis estático.
Ya en la etapa de verificación, debemos de tener muy en cuenta y claramente la diferencia entre validación y verificación, para esto Barry W. Boehm, lo describe con unas sencillas palabras:
Validación: ¿Estamos construyendo el producto correcto? Se ocupa de controlar si elproducto satisface los requerimientos del usuario. Barry W. Boehm.
En la Validación el resultado final del desarrollo software se debe ajustar a lo que el usuario requería (sus necesidades). En la mayoría de las ocasiones el producto desarrollado no se alinea con la ideas del cliente, normalmente porque a éste suele faltarle capacidad técnica de expresión.
Verificación: ¿Estamos construyendocorrectamente el producto? implica controlar que el producto conforma su especificación inicial. Barry W. Boehm.
En la Verificación el código que estamos construyendo debe estar en armonía con la especificación que hemos tomado del usuario. El resultado final del desarrollo software debe concordar con la especificación (requisitos) del sistema, por lo que debemos asegurarnos que el desarrollo finalcoincida con dicha especificación.
Como se comentó, el análisis estático es una evaluación del código sin ejecutar el código, existen normas que proponen lenguajes de programación adecuados, como ejemplo la EN 50128, la cual presenta una lista de lenguajes recomendados, estos en general deben de ser estructurados y restringidos, como por ejemplo Ada o Pascal, pero como el C/C++ es uno de loslenguajes mas adaptados a los sistemas, es incluido dentro de esta lista.
Para la técnica de programación ue pueden aplicarse para realizar este análisis la norma EN 50218 define un conjunto de éstas y entre las que marca como Altamente Recomendables para el nivel SIL4 (Safety Integrity Level) 4 se refiere a un nivel de criticidad máximo.
Dentro de esta norma se proponen diferentes seguimientoscomo son, análisis de valores extremos, el análisis del flujo de control y de datos, las revisiones de diseño y la ejecución simbólica del código, de acuerdo a la siguiente categorización SIL siendo 1 el nivel mínimo de criticidad y 4 el máximo, todas los procesos anteriores tienen que ser aplicados a un nivel 4 de criticidad.
El análisis de valores extremos busca defectos en el uso de las variablesen los extremos de su rango de validez o en valores que son más propensos a error como la división sobre cero, el uso de punteros y los accesos a los arreglos (arrays).
El análisis del flujo de control busca problemas en la estructura lógica del programa, como son fragmentos de código que pueden contener validaciones defectuosas que eviten entrar a partes de la secuencia, o validaciones de...
Tabla de contenido
PROBLEMAS DE SEGURIDAD EN SOFTWARE
El software en los días presentes, es un elemento clave en los actuales sistemas de control incluidos, los de seguridad crítica, en los que una falla puede causar daños irreparables tanto a las personas como al entorno.
Puesto que el software ni envejece ni se estropea, la calidad de éste dependerá principalmente de los defectosque se introduzcan en la fase de codificación.
Es por esto que cualquier técnica que eliminé estos defectos en la fase de creación, permiten aumentar las calidad del producto reduciendo ampliamente los costos de implementación. Para este evitar este tipo de percances existen las herramientas de análisis estático, las cuales pueden y permiten localizar código defectuoso o errores de programaciónsin siquiera ejecutar el código.
El ciclo de desarrollo incluye habitualmente varias etapas como son: la especificación, diseño, codificación del software, integración de módulos, integración con el hardware y validación del software y sistema, esto es conocido como el ciclo de vida del software.
Dentro de este proceso un punto clave es el proceso de verificación que se debe realizar siempre alfinal de una de las fases y mucho antes de comenzar otra, es para esto que nos ayudan las herramientas de análisis estático.
Ya en la etapa de verificación, debemos de tener muy en cuenta y claramente la diferencia entre validación y verificación, para esto Barry W. Boehm, lo describe con unas sencillas palabras:
Validación: ¿Estamos construyendo el producto correcto? Se ocupa de controlar si elproducto satisface los requerimientos del usuario. Barry W. Boehm.
En la Validación el resultado final del desarrollo software se debe ajustar a lo que el usuario requería (sus necesidades). En la mayoría de las ocasiones el producto desarrollado no se alinea con la ideas del cliente, normalmente porque a éste suele faltarle capacidad técnica de expresión.
Verificación: ¿Estamos construyendocorrectamente el producto? implica controlar que el producto conforma su especificación inicial. Barry W. Boehm.
En la Verificación el código que estamos construyendo debe estar en armonía con la especificación que hemos tomado del usuario. El resultado final del desarrollo software debe concordar con la especificación (requisitos) del sistema, por lo que debemos asegurarnos que el desarrollo finalcoincida con dicha especificación.
Como se comentó, el análisis estático es una evaluación del código sin ejecutar el código, existen normas que proponen lenguajes de programación adecuados, como ejemplo la EN 50128, la cual presenta una lista de lenguajes recomendados, estos en general deben de ser estructurados y restringidos, como por ejemplo Ada o Pascal, pero como el C/C++ es uno de loslenguajes mas adaptados a los sistemas, es incluido dentro de esta lista.
Para la técnica de programación ue pueden aplicarse para realizar este análisis la norma EN 50218 define un conjunto de éstas y entre las que marca como Altamente Recomendables para el nivel SIL4 (Safety Integrity Level) 4 se refiere a un nivel de criticidad máximo.
Dentro de esta norma se proponen diferentes seguimientoscomo son, análisis de valores extremos, el análisis del flujo de control y de datos, las revisiones de diseño y la ejecución simbólica del código, de acuerdo a la siguiente categorización SIL siendo 1 el nivel mínimo de criticidad y 4 el máximo, todas los procesos anteriores tienen que ser aplicados a un nivel 4 de criticidad.
El análisis de valores extremos busca defectos en el uso de las variablesen los extremos de su rango de validez o en valores que son más propensos a error como la división sobre cero, el uso de punteros y los accesos a los arreglos (arrays).
El análisis del flujo de control busca problemas en la estructura lógica del programa, como son fragmentos de código que pueden contener validaciones defectuosas que eviten entrar a partes de la secuencia, o validaciones de...
Leer documento completo
Regístrate para leer el documento completo.