El software no se vuelve seguro de forma espontánea. Su creación exige que en toda la organización se apliquen de forma coherente unos métodos conformes con políticas, objetivos y principios expresamente establecidos. El objetivo es producir un código seguro: Oracle exige que todo el desarrollo cumpla unos principios de codificación segura que se han formulado y comunicado, y sobre los que se ha ofrecido formación al personal.

Garantía de un alto grado de seguridad en todo el proceso

Para garantizar que los productos Oracle se desarrollen con un grado de seguridad elevado y constante, y ayudar a los desarrolladores a evitar errores de codificación habituales, Oracle aplica estándares de codificación segura formales.

Los estándares de codificación segura de Oracle son unas pautas que orientan a los desarrolladores a la hora de producir código seguro. En ellos, se analizan áreas de conocimiento sobre seguridad generales, como principios de diseño o vulnerabilidades habituales, entre otros, y se ofrecen indicaciones concretas sobre temas como validación o privacidad de datos, CGI, gestión de usuarios, etc.

Todos los desarrolladores de Oracle deben conocer estos estándares y aplicarlos al diseñar y construir productos. Los estándares de codificación se han desarrollado a lo largo de varios años e integran mejores prácticas y conocimientos derivados de las pruebas de vulnerabilidad continuas que lleva a cabo el equipo interno de evaluación de productos Oracle. Oracle exige que sus desarrolladores reciban formación en codificación segura para garantizar que todos ellos estén familiarizados con sus estándares de codificación. Los estándares de codificación segura son un componente clave de Oracle Software Security Assurance y su cumplimiento se evalúa y se valida a lo largo de la vida útil de todos los productos Oracle.

Naturaleza dinámica de los estándares de codificación segura

Los estándares de codificación segura de Oracle se han desarrollado y ampliado con el paso el tiempo para abordar los problemas más habituales que afectan al código de Oracle, los conocimientos adquiridos, las nuevas amenazas cuando son detectadas, y nuevos casos prácticos de clientes de Oracle. Los estándares de codificación segura no residen en una burbuja ni son una incorporación a posteriori al desarrollo del software. Por el contrario, son parte integral de los estándares específicos de cada lenguaje de programación —como C/C++, Java o PL/SQL, entre otros— y un pilar clave de los programas y procesos de garantía de seguridad del software de Oracle (Oracle Software Security Assurance).

Importancia de la formación para desarrolladores

Con los años, Oracle ha desarrollado internamente formación basada en los estándares de codificación segura. Oracle imparte esta formación de forma permanente en su organización de desarrollo de productos, que incluye a desarrolladores y a personal de garantía de calidad, gestión de lanzamientos y gestión de productos. La formación no se restringe a colaboradores individuales; todos los directivos, incluidos vicepresidentes, deben asistir a las clases de formación sobre Codificación segura. Esta formación continua garantiza que los desarrolladores conozcan todos los aspectos relacionados con la codificación segura y sean conscientes de que Oracle se rige por unos elevados estándares para producir productos de calidad.