Un software seguro no se crea por sí solo. Requiere metodologías aplicadas de forma sistemática en toda la organización; metodologías que se ajustan a las políticas, los objetivos y los principios establecidos. El objetivo es producir un código seguro: Oracle necesita que todo lo desarrollado cumpla con los principios de codificación segura que se establecieron, comunicaron y en los que se capacitó al personal.

Cómo asegurar una garantía de alta seguridad a lo largo de toda la vida útil de los productos

Para asegurar que los productos de Oracle se desarrollan con una garantía de alta seguridad de forma sistemática y que los desarrolladores evitan prácticas comunes de codificación insegura, Oracle emplea estándares formales de codificación segura.

Los Estándares de codificación segura de Oracle constituyen una estrategia y una guía para los desarrolladores en sus esfuerzos por producir un código seguro. Analizan áreas generales de conocimiento en materia de seguridad, como principios de diseño, vulnerabilidades comunes, etc. y proporcionan una orientación específica sobre temas como la validación de datos, la privacidad de datos, CGI, la administración de usuarios, entre otros.

Todos los desarrolladores de Oracle deben estar familiarizados con estos estándares y aplicarlos al diseñar y crear productos. Los estándares de codificación se desarrollaron durante varios años e incorporan mejores prácticas, así como lecciones de pruebas continuas de vulnerabilidades aprendidas por el equipo interno de evaluación de productos de Oracle. Oracle se asegura de que los desarrolladores estén familiarizados con los estándares de codificación al capacitarlos en el área de codificación segura. Los Estándares de codificación segura son un componente clave de Oracle Software Security Assurance, y se evalúa y valida el cumplimiento de estos a lo largo de toda la vida útil de los productos de Oracle.

Naturaleza dinámica de los Estándares de codificación segura

Los Estándares de codificación segura de Oracle se desarrollaron y ampliaron con el tiempo para abordar los problemas más comunes que afectan al código de Oracle, las perspectivas y las lecciones aprendidas, las nuevas amenazas a medida que se detectan y los nuevos casos de uso de los clientes de Oracle. Los Estándares de codificación segura no están aislados ni tampoco se agregan luego del desarrollo del software. Son esenciales para los estándares específicos de los lenguajes, como C/C++, Java, PL/SQL y otros, y un pilar importante para los programas y procesos de Oracle Software Security Assurance.

Importancia del entrenamiento de los desarrolladores

A lo largo de los años, Oracle ha desarrollado un entrenamiento de forma interna en función de los Estándares de codificación segura. Oracle brinda este entrenamiento de forma continua a su organización de desarrollo de productos, incluidos los desarrolladores, así como también al personal de control de calidad, administración de lanzamiento y administración de productos. El entrenamiento no se limita a los colaboradores individuales; los directores e incluso los vicepresidentes, deben tomar clases de entrenamiento en Codificación segura. Esta educación continua asegura que los desarrolladores estén familiarizados con todos los aspectos de la codificación segura y comprendan que Oracle posee niveles de calidad exigentes para fabricar productos de calidad.