El Consejo de Seguridad en la Programación reveló este Martes una propuesta de estándar para que las empresas comprueben la seguridad de la programación de sus desarrolladores. El objetivo es que las compañÃas de software puedan asegurar que sus programadores realizan los desarrollos bajo unos criterios seguros.
El Consejo ha publicado el primero de seis documentos para definir estos estándares, en concreto el documento llamado Habilidades Esenciales para Programadores Seguros que usan Java/JavaEE (PDF). El resto estarán dirigidos a los entornos C (ya disponible), C++, .Net, Perl, y PHP.
Las áreas de comprobación propuestas pasan por manejo de datos, autentificación, administración de sesiones y control de accesos. Por ejemplo, los programadores de Java deben ser capaces de escribir programas que lean entradas de interfaces, validen adecuadamente los datos y luego los diseminen. También deberán estar familiarizados con todo tipo de ataques maliciosos e inyecciones SQL.
Las pruebas de capacidad no están solo limitadas a comprobar si saben lo que es la encriptación, sino si comprenden las diferencias entre los diversos tipos de encriptación.
Mas de 40 empresas de todos los ámbitos de negocio y disciplinas, agencias del gobierno y compañÃas de seguridad han participado en el establecimiento de los estándares. Las pruebas las administrará SANS y comenzarán en Londres el 5 de Diciembre de este mismo año, continuando durante seis meses en ciudades de los Estados Unidos y Europa. Entre tanto ya están disponibles muestras de los tests.
Estas pruebas no son gratuitas, pues costarán entre 50$ y 450$ tanto para estudiantes como para empleados de corporaciones. Pero eso no parece ser un impedimento para que este nuevo estándar propuesto se convierta en una obligación en poco tiempo para desarrolladores que quieran trabajar en grandes empresas que, poco a poco, se vayan asociando y exigiendo este tipo de estándares de seguridad.
Nosotros, como usuarios, solo podemos estar expectantes, y esperar que salgamos beneficiados con este tipo de iniciativas que exigen calidades para ofrecer seguridad al usuario final de aplicaciones.
VÃa | News.com
