sopra - benchmark de calidad y seguridad de aplicaciones
TRANSCRIPT
Benchmark sobre calidad y seguridad de aplicaciones1 Benchmark sobre calidad y seguridad de aplicaciones
BENCHMARK Calidad y seguridad de aplicaciones
José Antonio Rodríguez
Benchmark sobre calidad y seguridad de aplicaciones2
¿POR QUÉ UN ESTUDIO SOBRE LA CALIDAD Y LA SEGURIDAD?
Según estudios de mercado, los costes de mantenimiento suponen el 67% del coste total del ciclo de vida de una aplicación.
Desglose del esfuerzo total del ciclo de vida
Distribución del tiempo en tareas de mantenimiento (McClure)
6%
28%
19%23%
18%
6%
EstudiarCódigo
EstudiarDocumentación
EstudiarPeticiones
ActualizarDocumentación
RealizarPruebas
Implementar Cambios
Componentes que afectan a la complejidad técnica (70%)
Desglose del esfuerzo de mantenimiento
Alrededor del 70% de esa cifra (47% del ciclo de vida de una Aplicación) se invierte en tareas cuya duración está estrechamente ligada a la complejidad técnica.
Calidad
Ahorro de costes Reducción de plazos
Benchmark sobre calidad y seguridad de aplicaciones3
¿POR QUÉ UN ESTUDIO SOBRE LA CALIDAD Y LA SEGURIDAD?
El 70% de los daños producidos por fallos de seguridad se deben a ataques cuyo punto de entrada han sido las aplicaciones. Gartner
Sin embargo, en general las empresas gastan en seguridad de aplicaciones del orden del 10% de su presupuesto global de seguridad informática.
ProtecciónAntivirus
Encriptación(SSL)
Firewalls /AdvancedRouters
Firewall
Web Servers
Databases
Backend
Server
Application
Servers
Aplicaciones
% ataques 70%30%
% gasto en seguridad90% 10%
Frecuencia ataques vs gasto en seguridad
Perímetro
Seguridad
Fortificación del negocioPrevención de costes derivados de ataques
Benchmark sobre calidad y seguridad de aplicaciones4
AUTORÍA DEL BENCHMARK
Compañía consultora de integración de sistemas, con una alta especialización en calidad y pruebas.
Compañía experta en soluciones tecnológicas aplicadas al negocio, comercializadora de la herramienta CodAudit.
Industrializa la auditoría de calidad y seguridad del software, basándose en estándares de programación mundialmente reconocidos.
Estudio de mercado elaborado por Sopra en colaboración con Koukio Solutions en empresas españolas, en el periodo 2014 – 2015.
Benchmark sobre calidad y seguridad de aplicaciones5
EVALUACIÓN DE CALIDAD
Facilidad para encontrar los cambios introducidos en el sistema
Arquitectura
Datos
Gestión de excepciones
Lógica
0.00 0.05 0.10 0.15 0.20 0.25 0.30 0.35 0.40 0.45
0.26
0.25
0.44
0.02
Desglose (número de violaciones por cada 1.000 líneas de código)
Modificabilidad0,97
Benchmark sobre calidad y seguridad de aplicaciones6
EVALUACIÓN DE CALIDAD
Reglas relacionadas con algoritmos, reutilización de objetos, etc.
Eficiencia2,16
Desglose (número de violaciones por cada 1.000 líneas de código)
Memoria
Buenas prácticas
0.00 0.20 0.40 0.60 0.80 1.00 1.20 1.40 1.60 1.80 2.00
0.20
1.96
Benchmark sobre calidad y seguridad de aplicaciones7
EVALUACIÓN DE CALIDAD
Reglas relacionadas con las buenas prácticas de programación
Mantenibilidad11,51
Desglose (número de violaciones por cada 1.000 líneas de código)
Legibilidad
Comprensibilidad
0.00 2.00 4.00 6.00 8.00 10.00 12.00
0.05
11.47
Benchmark sobre calidad y seguridad de aplicaciones8
EVALUACIÓN DE CALIDAD
Evaluación del uso correcto del framework y de las librerías, compatibilidad del código con las plataformas de 32 y 64 bits
Portabilidad0,01
Desglose (número de violaciones por cada 1.000 líneas de código)
Sisema operativo
0.00 0.01 0.01
0.01
Benchmark sobre calidad y seguridad de aplicaciones9
EVALUACIÓN DE CALIDAD
Reglas relacionadas con la robustez de la implementación, gestión de colas, complejidad esencial de McCabe, etc.
Fiabilidad3,03
Datos
Tolerancia a fallos
Lógica
Disponibilidad
0.00 0.20 0.40 0.60 0.80 1.00 1.20 1.40 1.60 1.80
0.23
0.07
1.62
1.11
Desglose (número de violaciones por cada 1.000 líneas de código)
Benchmark sobre calidad y seguridad de aplicaciones10
EVALUACIÓN DE CALIDAD
Facilidad para ser probado: simplicidad para probar los cambios en el sistema
Fac. probar1,37
Desglose (número de violaciones por cada 1.000 líneas de código)
Relacionado con el S.O.
Estándares
Buenas prácticas
0.00 0.20 0.40 0.60 0.80 1.00 1.20
0.10
0.23
1.04
Benchmark sobre calidad y seguridad de aplicaciones11
EVALUACIÓN DE CALIDAD
Número de violaciones por cada 1.000 líneas de código
Mantenibilidad
Fiabilidad
Eficiencia
Facilidad para ser probado
Modificabilidad
Portabilidad
0.00 2.00 4.00 6.00 8.00 10.00 12.00
11.51
3.03
2.16
1.37
0.97
0.01
Benchmark sobre calidad y seguridad de aplicaciones12
EVALUACIÓN DE SEGURIDAD
Seguridad7,77
Estándares internacionales de programación segura, análisis de la estructura de datos, control de flujo, gestión de memoria y detección de vulnerabilidades
Severidad 1 (Bloqueante)
Severidad 2 (Crítica)
Severidad 3 (Mayor)
Severidad 4 (Menor)
Severidad 5 (Informativo)
0.00 0.50 1.00 1.50 2.00 2.50 3.00 3.50
2.70
0.30
3.38
0.15
1.25
Desglose (número de violaciones por cada 1.000 líneas de código)
Benchmark sobre calidad y seguridad de aplicaciones13
EVALUACIÓN DE SEGURIDAD
¿Cuáles han sido las principales incidencias de seguridad?
¿A qué causas se han debido?
¿Qué impacto han tenido?
¿Cuáles son los principales obstáculos para el desarrollo seguro?
1Muy bajo
2Bajo
3Medio
4Alto
5Muy alto
Índice de riesgo
3,4
Benchmark sobre calidad y seguridad de aplicaciones14
PRINCIPALES INCIDENCIAS DE SEGURIDAD
Fallo enservicioInfección
por virus Otros
Robo / Acceso a la informaciónModificación de informaciónModificación no autorizada de programas
Benchmark sobre calidad y seguridad de aplicaciones15
PRINCIPALES CAUSAS
Vulnerabilidadesen aplicaciones
Configuraciónde seguridad
Otros
Uso abusivo de los recursos / privilegiosVulnerabilidades en el software base / hardware
Benchmark sobre calidad y seguridad de aplicaciones16
IMPACTO
Daños a la reputación y a la marca
Pérdida de confianza de
clientes y relacionados Otros
Sanciones o acciones regulatoriasPérdida de clientesDaño en la relación con empleados
Benchmark sobre calidad y seguridad de aplicaciones17
OBSTÁCULOS PARA LA PRÁCTICA DE DESARROLLO SEGURO
Gran obstáculo
Cambios técnicos en los estándares de Desarrollo
Falta de procesos de Desarrollo seguro
Falta de cultura / formación de programadores
Falta de personal especializado en seguridad del Desarrollo
Restricciones de presupuesto
Falta de tiempo dedicado a la Calidad y Seguridad del Desarrollo
Obstáculo medio
Benchmark sobre calidad y seguridad de aplicaciones18
EVALUACIÓN DEL PROCESO DE PRUEBAS
Ciclo de vida2,37
Integración de las pruebas en el ciclo de vida del proyecto. Se valora la metodología, procedimientos, documentación, etc.
Metodología
Fases de pruebas
Documentación de procedimientos
Comunicación y escalado de problemas
Gestión de incidencias
1.00 2.00 3.00 4.00
2.38
2.32
2.29
2.18
2.68
De 0 (mínimo) a 4 (máximo)
Benchmark sobre calidad y seguridad de aplicaciones19
EVALUACIÓN DEL PROCESO DE PRUEBAS
Técnicas2,77
Se valora si las técnicas que se usan son apropiadas, efectivas y medibles.
De 0 (mínimo) a 4 (máximo)
Gestión de pruebas basada en riesgos
Técnicas de pruebas estáticas
Planificación y estimación de pruebas
Especificaciones basadas en requisitos
Metricas para la gestión y mejora continua
1.00 2.00 3.00 4.00
2.00
2.24
2.56
2.74
1.82
Benchmark sobre calidad y seguridad de aplicaciones20
EVALUACIÓN DEL PROCESO DE PRUEBAS
Infraestructuray herramientas
2,25
Se valora el uso de las herramientas y el entorno de pruebas.
De 0 (mínimo) a 4 (máximo)
Herramientas de automatización
Entorno de pruebas
Herramientas de gestión de pruebas
Conocimiento de herramientas
Datos de pruebas
1.00 2.00 3.00 4.00
1.85
2.50
1.91
2.12
2.88
Benchmark sobre calidad y seguridad de aplicaciones21
EVALUACIÓN DEL PROCESO DE PRUEBAS
Organización1,82
Se valora la definición de los skills de testing y su formación, así como la composición del equipo en cuanto a las distintas disciplinas, funciones, conocimientos y requeridos.
De 0 (mínimo) a 4 (máximo)
Equipo independiente de pruebas
Formación
Perfiles de Testing
Especialización por tipos de pruebas
Motivación y compromiso
1.00 2.00 3.00 4.00
2.18
1.82
1.68
1.91
1.50
Benchmark sobre calidad y seguridad de aplicaciones22
EVALUACIÓN DEL PROCESO DE PRUEBAS
El dato de las Best Practices se ha calculado con la media de las tres compañías con los valores más altos.
De 0 (mínimo) a 4 (máximo)
Ciclo de Vida
Técnicas
Herramientas
Organización
0.00 0.50 1.00 1.50 2.00 2.50 3.00 3.50 4.00
2.37
2.27
2.25
1.82
4.00
3.73
3.87
3.93
Best PracticesMedia del mercado
Benchmark sobre calidad y seguridad de aplicaciones23
MEDIR PARA MEJORAR
Detectardebilidades
Afrontar lascausas
Aseguramiento del negocio
Reducción de costes
Reducción de plazos
ROI desde el primer año
Instaurarprocesos
Benchmark sobre calidad y seguridad de aplicaciones24
DATOS DEL PONENTEJOSE ANTONIO RODRIGUEZ
Forma parte del Spanish Software Testing Qualifications Board (SSTQB, organismo español perteneciente al ISTQB) ISTQB Certified Tester Advanced Level - Test Manager
Especialidad en Software Quality Assurance (SQA) desde hace 15 años. Desde el año 2013 pertenece el Centro de Competencias de Testing de Sopra, participando en la puesta en marcha de servicios de pruebas complejos con un alto componente de externalización nacional e internacional.
Datos de [email protected]óvil : (+34) 615 098 037