sopra - benchmark de calidad y seguridad de aplicaciones

Benchmark sobre calidad y seguridad de aplicaciones1 Benchmark sobre calidad y seguridad de aplicaciones

BENCHMARK Calidad y seguridad de aplicaciones

José Antonio Rodríguez

Benchmark sobre calidad y seguridad de aplicaciones2

¿POR QUÉ UN ESTUDIO SOBRE LA CALIDAD Y LA SEGURIDAD?

Según estudios de mercado, los costes de mantenimiento suponen el 67% del coste total del ciclo de vida de una aplicación.

Desglose del esfuerzo total del ciclo de vida

Distribución del tiempo en tareas de mantenimiento (McClure)

6%

28%

19%23%

18%

6%

EstudiarCódigo

EstudiarDocumentación

EstudiarPeticiones

ActualizarDocumentación

RealizarPruebas

Implementar Cambios

Componentes que afectan a la complejidad técnica (70%)

Desglose del esfuerzo de mantenimiento

Alrededor del 70% de esa cifra (47% del ciclo de vida de una Aplicación) se invierte en tareas cuya duración está estrechamente ligada a la complejidad técnica.

Calidad

Ahorro de costes Reducción de plazos


¿POR QUÉ UN ESTUDIO SOBRE LA CALIDAD Y LA SEGURIDAD?

El 70% de los daños producidos por fallos de seguridad se deben a ataques cuyo punto de entrada han sido las aplicaciones. Gartner

Sin embargo, en general las empresas gastan en seguridad de aplicaciones del orden del 10% de su presupuesto global de seguridad informática.

ProtecciónAntivirus

Encriptación(SSL)

Firewalls /AdvancedRouters

Firewall

Web Servers

Databases

Backend

Server

Application

Servers

Aplicaciones

% ataques 70%30%

% gasto en seguridad90% 10%

Frecuencia ataques vs gasto en seguridad

Perímetro

Seguridad

Fortificación del negocioPrevención de costes derivados de ataques


AUTORÍA DEL BENCHMARK

Compañía consultora de integración de sistemas, con una alta especialización en calidad y pruebas.

Compañía experta en soluciones tecnológicas aplicadas al negocio, comercializadora de la herramienta CodAudit.

Industrializa la auditoría de calidad y seguridad del software, basándose en estándares de programación mundialmente reconocidos.

Estudio de mercado elaborado por Sopra en colaboración con Koukio Solutions en empresas españolas, en el periodo 2014 – 2015.


EVALUACIÓN DE CALIDAD

Facilidad para encontrar los cambios introducidos en el sistema

Arquitectura

Datos

Gestión de excepciones

Lógica

0.00 0.05 0.10 0.15 0.20 0.25 0.30 0.35 0.40 0.45

0.26

0.25

0.44

0.02

Desglose (número de violaciones por cada 1.000 líneas de código)

Modificabilidad0,97



Reglas relacionadas con algoritmos, reutilización de objetos, etc.

Eficiencia2,16


Memoria

Buenas prácticas

0.00 0.20 0.40 0.60 0.80 1.00 1.20 1.40 1.60 1.80 2.00

0.20

1.96



Reglas relacionadas con las buenas prácticas de programación

Mantenibilidad11,51


Legibilidad

Comprensibilidad

0.00 2.00 4.00 6.00 8.00 10.00 12.00

0.05

11.47



Evaluación del uso correcto del framework y de las librerías, compatibilidad del código con las plataformas de 32 y 64 bits

Portabilidad0,01


Sisema operativo

0.00 0.01 0.01

0.01



Reglas relacionadas con la robustez de la implementación, gestión de colas, complejidad esencial de McCabe, etc.

Fiabilidad3,03

Datos

Tolerancia a fallos

Lógica

Disponibilidad

0.00 0.20 0.40 0.60 0.80 1.00 1.20 1.40 1.60 1.80

0.23

0.07

1.62

1.11




Facilidad para ser probado: simplicidad para probar los cambios en el sistema

Fac. probar1,37


Relacionado con el S.O.

Estándares

Buenas prácticas

0.00 0.20 0.40 0.60 0.80 1.00 1.20

0.10

0.23

1.04



Número de violaciones por cada 1.000 líneas de código

Mantenibilidad

Fiabilidad

Eficiencia

Facilidad para ser probado

Modificabilidad

Portabilidad

0.00 2.00 4.00 6.00 8.00 10.00 12.00

11.51

3.03

2.16

1.37

0.97

0.01


EVALUACIÓN DE SEGURIDAD

Seguridad7,77

Estándares internacionales de programación segura, análisis de la estructura de datos, control de flujo, gestión de memoria y detección de vulnerabilidades

Severidad 1 (Bloqueante)

Severidad 2 (Crítica)

Severidad 3 (Mayor)

Severidad 4 (Menor)

Severidad 5 (Informativo)

0.00 0.50 1.00 1.50 2.00 2.50 3.00 3.50

2.70

0.30

3.38

0.15

1.25



EVALUACIÓN DE SEGURIDAD

¿Cuáles han sido las principales incidencias de seguridad?

¿A qué causas se han debido?

¿Qué impacto han tenido?

¿Cuáles son los principales obstáculos para el desarrollo seguro?

1Muy bajo

2Bajo

3Medio

4Alto

5Muy alto

Índice de riesgo

3,4


PRINCIPALES INCIDENCIAS DE SEGURIDAD

Fallo enservicioInfección

por virus Otros

Robo / Acceso a la informaciónModificación de informaciónModificación no autorizada de programas


PRINCIPALES CAUSAS

Vulnerabilidadesen aplicaciones

Configuraciónde seguridad

Otros

Uso abusivo de los recursos / privilegiosVulnerabilidades en el software base / hardware


IMPACTO

Daños a la reputación y a la marca

Pérdida de confianza de

clientes y relacionados Otros

Sanciones o acciones regulatoriasPérdida de clientesDaño en la relación con empleados


OBSTÁCULOS PARA LA PRÁCTICA DE DESARROLLO SEGURO

Gran obstáculo

Cambios técnicos en los estándares de Desarrollo

Falta de procesos de Desarrollo seguro

Falta de cultura / formación de programadores

Falta de personal especializado en seguridad del Desarrollo

Restricciones de presupuesto

Falta de tiempo dedicado a la Calidad y Seguridad del Desarrollo

Obstáculo medio


EVALUACIÓN DEL PROCESO DE PRUEBAS

Ciclo de vida2,37

Integración de las pruebas en el ciclo de vida del proyecto. Se valora la metodología, procedimientos, documentación, etc.

Metodología

Fases de pruebas

Documentación de procedimientos

Comunicación y escalado de problemas

Gestión de incidencias

1.00 2.00 3.00 4.00

2.38

2.32

2.29

2.18

2.68

De 0 (mínimo) a 4 (máximo)



Técnicas2,77

Se valora si las técnicas que se usan son apropiadas, efectivas y medibles.


Gestión de pruebas basada en riesgos

Técnicas de pruebas estáticas

Planificación y estimación de pruebas

Especificaciones basadas en requisitos

Metricas para la gestión y mejora continua

1.00 2.00 3.00 4.00

2.00

2.24

2.56

2.74

1.82



Infraestructuray herramientas

2,25

Se valora el uso de las herramientas y el entorno de pruebas.


Herramientas de automatización

Entorno de pruebas

Herramientas de gestión de pruebas

Conocimiento de herramientas

Datos de pruebas

1.00 2.00 3.00 4.00

1.85

2.50

1.91

2.12

2.88



Organización1,82

Se valora la definición de los skills de testing y su formación, así como la composición del equipo en cuanto a las distintas disciplinas, funciones, conocimientos y requeridos.


Equipo independiente de pruebas

Formación

Perfiles de Testing

Especialización por tipos de pruebas

Motivación y compromiso

1.00 2.00 3.00 4.00

2.18

1.82

1.68

1.91

1.50



El dato de las Best Practices se ha calculado con la media de las tres compañías con los valores más altos.


Ciclo de Vida

Técnicas

Herramientas

Organización

0.00 0.50 1.00 1.50 2.00 2.50 3.00 3.50 4.00

2.37

2.27

2.25

1.82

4.00

3.73

3.87

3.93

Best PracticesMedia del mercado


MEDIR PARA MEJORAR

Detectardebilidades

Afrontar lascausas

Aseguramiento del negocio

Reducción de costes

Reducción de plazos

ROI desde el primer año

Instaurarprocesos


DATOS DEL PONENTEJOSE ANTONIO RODRIGUEZ

Forma parte del Spanish Software Testing Qualifications Board (SSTQB, organismo español perteneciente al ISTQB) ISTQB Certified Tester Advanced Level - Test Manager

Especialidad en Software Quality Assurance (SQA) desde hace 15 años. Desde el año 2013 pertenece el Centro de Competencias de Testing de Sopra, participando en la puesta en marcha de servicios de pruebas complejos con un alto componente de externalización nacional e internacional.

Datos de [email protected]óvil : (+34) 615 098 037

mailto:[email protected]