Por qué la seguridad del software es una habilidad que todos los programadores deberían tener
Como programador o desarrollador, no se puede subestimar la importancia de crear aplicaciones seguras.
La seguridad del software se ocupa de la gestión de ataques maliciosos identificando posibles vulnerabilidades en el software y tomando las precauciones necesarias para protegerse contra ellas.
El software nunca puede ser 100% seguro porque un desarrollador puede pasar por alto un error, crear nuevos errores en un intento de corregir los casos existentes o crear nuevas vulnerabilidades a través de actualizaciones.
Sin embargo, existen dos prácticas clave que todos los desarrolladores de software pueden emplear para asegurarse de crear software seguro: escribir código seguro en primer lugar y probar su código de manera eficiente.
Cómo escribir código seguro
Escribir código seguro se reduce a una cosa: el manejo de errores. Si puede anticipar cada valor potencial que un usuario podría aportar a su aplicación y crear una respuesta en su programa para ese valor, entonces está escribiendo un código seguro.
Esto es mucho más simple de lo que podría pensar porque todos los buenos desarrolladores saben casi todo sobre las aplicaciones que desarrollan. Por lo tanto, debe conocer todos los valores que su aplicación requiere para llevar a cabo una tarea (los valores aprobados) y comprender que cualquier otro valor posible que exista es un valor no aprobado.
Escribir código seguro
Supongamos que desea crear un programa que solo acepte dos valores enteros de un usuario y realice una operación de suma en ellos. Con esa única frase, como buen desarrollador, ahora sabes todo sobre tu aplicación. Conoce todos los valores que aceptará este programa (valores enteros) y conoce la tarea que completará este programa (una operación de suma).
Ejemplo de creación del programa en Java
import java.util.Scanner;
public class Main {
//The main function that executes the program and collects the two values
public static void main(String[] args) {
System.out.println("Please enter your two integer values: ");
int value1;
int value2;
Scanner input = new Scanner(System.in);
value1 = input.nextInt();
value2 = input.nextInt();
addition(value1, value2);
input.close();
}
//the function that collects the two values and displays their sum
private static void addition(int value1, int value2) {
int sum;
sum = value1 + value2;
System.out.println("The sum of the two integer values you entered: "+ sum);
}
}
El código anterior produce una aplicación que coincide con los requisitos de forma precisa. Al ejecutarse, producirá la siguiente línea en la consola:
Please enter your two integer values:
La aplicación permanecerá en pausa hasta que el usuario ingrese dos valores enteros en la consola (eso significa escribir el primer valor, presionar la tecla Intro y repetir).
Si el usuario ingresa los valores 5 y 4 en la consola, el programa producirá la siguiente salida:
The sum of the two integer values you entered: 9
Esto es genial; el programa hace exactamente lo que debería hacer. Sin embargo, si aparece un usuario malintencionado e ingresa un valor que no sea un número entero, como "g", en su aplicación, habrá problemas. Esto se debe a que ningún código de la aplicación protege contra valores no aprobados.
En este punto, su aplicación se bloqueará, creando una posible puerta de entrada a su aplicación para el pirata informático que sabe exactamente qué hacer a continuación.
Asegurar su ejemplo de programa
import java.util.InputMismatchException;
import java.util.Scanner;
public class Main {
//The main function that executes the program and collects the two values
public static void main(String[] args) {
try {
System.out.println("Please enter your two integer values: ");
int value1;
int value2;
//using the scanner class to read each input from the user,
//and assign it to is respective variable (throws an exception if the values are not integers)
Scanner input = new Scanner(System.in);
value1 = input.nextInt();
value2 = input.nextInt();
//calls the addition function and passes the two values to it
addition(value1, value2);
//closes the input stream after it has come to the end of its use
input.close();
//handle all the errors thrown in the try block
}catch(InputMismatchException e){
System.out.println("Please enter a valid integer value.");
}catch(Exception e) {
System.out.println(e.getMessage());
}
}
//the function that collects the two values and displays their sum
private static void addition(int value1, int value2) {
int sum;
sum = value1 + value2;
System.out.println("The sum of the two integer values you entered: "+ sum);
}
}
El código anterior es seguro porque realiza el manejo de excepciones. Por lo tanto, si ingresa un valor no entero, el programa terminará correctamente mientras produce la siguiente línea de código:
Please enter a valid integer value.
¿Qué es el manejo de excepciones?
Básicamente, el manejo de excepciones es la versión moderna del manejo de errores, donde separa el código de manejo de errores del código de procesamiento normal. En el ejemplo anterior, todo el código de procesamiento normal (o código que potencialmente puede generar una excepción) está dentro de un bloque try , y todo el código de manejo de errores está dentro de bloques catch .
Si observa más de cerca el ejemplo anterior, encontrará que hay dos bloques de captura. El primero toma un argumento InputMismatchException ; este es el nombre de la excepción que se lanza si se ingresa un valor no entero. El segundo toma un argumento de excepción , y esto es importante porque su propósito es detectar cualquier excepción dentro del código que el desarrollador no encontró durante la prueba.
Probando su código
Nunca debe subestimar el poder de probar y volver a probar su código antes de empaquetarlo. Muchos desarrolladores (y usuarios de sus aplicaciones) encuentran nuevos errores después de que el software está disponible para el público.
Probar minuciosamente su código le asegurará que sabe lo que hará su aplicación en todos los escenarios imaginables, y eso le permitirá proteger su aplicación de violaciones de datos.
Considere el ejemplo anterior. ¿Qué pasa si, después de la finalización, solo prueba la aplicación con valores enteros? Puede alejarse de la aplicación pensando que ha identificado con éxito todos los errores potenciales cuando ese no es el caso.
El hecho es que es posible que no pueda identificar todos los errores potenciales; esta es la razón por la que el manejo de errores funciona de la mano con la prueba de su código. La prueba del programa anterior muestra que se producirá un error potencial en un escenario específico.
Sin embargo, si existe algún otro error que no apareció durante la prueba, el segundo bloque de captura en el código anterior lo manejará.
Asegurar su base de datos
Si su aplicación se conecta a una base de datos, la mejor manera de evitar el acceso a esa base de datos es asegurarse de que todos los aspectos de su aplicación sean seguros. Sin embargo, ¿qué pasa si su aplicación está diseñada con el único propósito de proporcionar una interfaz a dicha base de datos?
Aquí es donde las cosas se ponen un poco más interesantes. En su forma más básica, una base de datos permite a un usuario agregar, recuperar, actualizar y eliminar datos. Un sistema de gestión de bases de datos es una aplicación que permite a un usuario interactuar directamente con una base de datos.
La mayoría de las bases de datos contienen datos confidenciales, por lo tanto, para mantener la integridad y limitar el acceso a estos datos, existe un requisito: el control de acceso.
Control de acceso
El control de acceso busca mantener la integridad de una base de datos definiendo el tipo de personas que pueden acceder a una base de datos y restringiendo el tipo de acceso que tienen. Por lo tanto, un buen sistema de administración de bases de datos debería poder registrar quién accede a la base de datos, a qué hora y qué hicieron.
También debería poder evitar que un usuario registrado acceda o edite datos con los que no está autorizado a interactuar.
La seguridad del software es una habilidad crucial para todos los desarrolladores
Desarrollar un buen software es sinónimo de garantizar que su software pueda resistir cualquier ataque malintencionado. Esto solo se puede lograr mediante la escritura de código seguro, la prueba continua de una aplicación y el control de quién tiene acceso a sus datos.
Ahora que sabe cómo proteger su software, es posible que desee conocer algunos pasos de desarrollo de software.