Aplicación de un ciclo de vida de desarrollo software seguro en un sistema de vigilancia militar

Autor: Arribas-Serrano, Mónica
Rok vydání: 2022
Předmět:
Zdroj: Re-Unir. Archivo Institucional de la Universidad Internacional de La Rioja
instname
Popis: Military systems typically run on isolated networks, which are typically secured at the physical level. In many cases, this leads to neglecting software security and placing unwarranted confidence in the security of these systems. This pilot is intended to demonstrate the above assertion that there is low or no security of command and control applications with Magec military software and the application of a Secure Software Development Lifecycle (S-SDL). This will start with a threat modelling of the application architecture with the Microsoft Threat Modeling Tool. It will continue with the project of a code audit of the application with the Fortify SCA tool. And it will end with pen testing of the application with the tools Nessus, Spike and Wireshark, these being for scanning known vulnerabilities and fuzzing tests respectively. Habitualmente los sistemas militares se ejecutan en redes aisladas, cuya securización típica es de nivel físico. Esto lleva a olvidar en muchos casos la securización del software depositando una confianza no justificada en la seguridad de estos sistemas. En este piloto se pretende demostrar la afirmación anterior de la poca o nula securización de las aplicaciones de mando y control con el software militar Magec y la aplicación de un Ciclo de vida de desarrollo seguro de software (S-SDL). Para ello, se comenzará con un modelado de amenazas sobre la arquitectura de la aplicación con la herramienta Microsoft Threat Modeling Tool. Se continuará con el proyecto de una auditoría de código de la aplicación con la herramienta Fortify SCA. Y se finalizará con la realización de pruebas de penetración de la aplicación con las herramientas Nessus, Spike y Wireshark, siendo estas para escanear vulnerabilidades conocidas y para realizar pruebas de fuzzing respectivamente.
Databáze: OpenAIRE