Software Quality and Application Security Base on the AGILISO Software Development Process and the OWASP Standard
Article Sidebar
Main Article Content
Abstract
Globalization has driven all industrial sectors towards the modernization of obtaining, storing and accessing information in the support, mission and strategic processes, modernization that have started to become practically mandatory and immediate after the world pandemic declaration, which forced these processes to be carried out virtually since governments decreed confinements to the entire population; this unexpected circumstance leads to the imperative need to improve both software development practices and security testing of the applications that support the business operation. In this context, those responsible for internal control and information systems auditing departments must generate permanent evaluations of both software development processes and application security, ensuring compliance with international standards ISO/IEC 27001 and ISO/IEC 29110, verifying that the business logic is adequately supported by the organizations’ own or outsourced developments.
This is a proposal to evaluate software quality based on the AGILISO software development process and application security based on the OWASP application security verification standard, strengthening and optimizing the auditing activity by internal control, auditors and information systems consultants, allowing the timely proposal of action plans that seek to correct the deviations detected.
Article Details
This work is licensed under a Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.
Los autores conservan los derechos de autor y ceden a la revista el derecho de la primera publicación y pueda editarlo, reproducirlo, distribuirlo, exhibirlo y comunicarlo en el país y en el extranjero mediante medios impresos y electrónicos. Asimismo, asumen el compromiso sobre cualquier litigio o reclamación relacionada con derechos de propiedad intelectual, exonerando de responsabilidad a la Editorial Tecnológica de Costa Rica. Además, se establece que los autores pueden realizar otros acuerdos contractuales independientes y adicionales para la distribución no exclusiva de la versión del artículo publicado en esta revista (p. ej., incluirlo en un repositorio institucional o publicarlo en un libro) siempre que indiquen claramente que el trabajo se publicó por primera vez en esta revista.
References
Agarwal, R., & Umphress, D. (2008). Extreme programming for a single person team. Proceedings of the 46th Annual Southeast Regional Conference, (págs. 82-87). Auburn, Alabama. doi:10.1145/1593105.1593127
Celis Mendoza, O. B. (03 de 07 de 2014). Diferencias, ventajas y desventajas estre Scrum, XP, OpenUp e ISO 12207. Recuperado el 21 de 12 de 2017, de https://prezi.com/vugjhc65whet/diferenecias-ventajas-y-desventajas-entre-scrumxpopenup-y-iso-12207/
Ciudades y Gobiernos Locales Unidos CGLU. (2020). Informe Tecnologías digitales y la pandemia de COVID-19. Recuperado el 18 de mayo de 2021, de eng_briefing_technology_es.pdf (uclg.org)
Eclipse. (30 de 05 de 2012). epf.eclipse.org. Recuperado el 20 de 12 de 2017, de http://epf.eclipse.org/wikis/openup/index.htm
Erazo, P. (2018). Definición de un proceso de Desarrollo de software en modalidad unipersonal combinando ISO/IEC 29110:2014 y metodologías ágiles. Recuperado el 18 de mayo de 2021, de Definición_proceso_desarrollo_proyectos_software_modalidad_unipersonal_combinando_ISO_IEC_29110_2014_procesos_ágiles.pdf (autonoma.edu.co)
Gimson, L. (2012). Metodologías ágiles y desarrollo basado en conocimiento. Tesis, Universidad Nacional de la Plata, Facultad de informática, Argentina. Recuperado el 20 de 12 de 2017, de http://sedici.unlp.edu.ar/bitstream/handle/10915/24942/Documento_completo__.pdf?sequence=1
ICONTEC. (2014). NTC ISO/IEC TR 29110-5-1-2. (ICONTEC, Ed.) Bogotá, Colombia.
IEEE Computer Society. (2014). SWEBOK V.3 Guide to the software engineering body of knowledge (Vol. 3). Piscataway, New Jersey: IEEE. Obtenido de www.swebok.org.
Laporte, C. Y. (2016). La implementación de la norma ISO/IEC 29110 guías de gestión e ingeniería para las organizaciones pequeñas. Congreso internacional de mejora de procesos de software, 5, págs. 69-70. Aguascalientes, México. Recuperado el 15 de 12 de 2017, de https://www.researchgate.net/profile/Claude_Laporte/publication/312874829_La_implementacion_de_la_norma_ISOIEC_29110_Guias_de_Gestion_e_Ingenieria_para_las_organizaciones_pequenas/links/5888aa00458515098e43a754/La-implementacion-de-la-norma-ISO-IEC-29110-
Maida, E. G., & Pacienzia, J. (2015). Metodologías de desarrollo de software. Tesis de Licenciatura en Sistemas y Computación, Pontificia universidad católica de Argentina Santa María de los Buenos Aires, Faculta de química e ingeniería, Buenos Aires, Argentina. Recuperado el 01 de 11 de 2017, de http://bibliotecadigital.uca.edu.ar/repositorio/tesis/metodologias-desarrollo-software.pdf
Microsoft Developer Network. (2013). MSDN. Recuperado el 12 de 12 de 2017, de https://msdn.microsoft.com/es-es/library/dd997578%28v=vs.120%29.aspx?f=255&MSPPError=-2147217396
Organización de las Naciones Unidas para el Desarrollo Industrial (ONUDI). (2015). Informe sobre el desarrollo industrial 2016. El rol de la tecnología y la innovación en el desarrollo industrial inclusivo y sostenible. Viena: ONUDI.
OWASP. (s.f). The open web application security project (OWASP). Recuperado el 18 de mayo de 2021, de Proyecto_OWASP.pdf
OWASP. (2017). Estándar de verificación de seguridad en aplicaciones. Recuperado el 18 de mayo de 2021, de Estándar de Verificación de Seguridad en Aplicaciones 3.0.1 (owasp.org)
Peffers, K., Tuunanen, T., Rothenberger, M., & Chatterjee, S. (s.f.). A Desing Science Research Methodology for Information System Research. Journal of Management Informtion Systems, 24(3), págs. 45-77.
Schwaber, K., & Shuterland, J. (2013). La guía definitiva de Scrum: las reglas del juego. ScrumGuides. Scrum.org and ScrumInc. Recuperado el 19 de 12 de 2017, de http://www.scrumguides.org/docs/scrumguide/v1/scrum-guide-es.pdf
Sommerville, I. (2011). Sofwtare engineering (Novena edición ed.). Boston, Masachussets: Pearson Educación.
Soto Duran, D. E., & Reyes Gamboa, A. X. (2010). Introduciendo PSP (Proceso Personal de Software) en el Aula. Revista Colombiana de Tecnologías de Avanzada, 2(16), 1-5. Obtenido de http://www.unipamplona.edu.co/unipamplona/portalIG/home_40/recursos/03_v13_18/revista_16/27102011/01.pdf
Szulanski, G. (1996). Exploring Internal Stickiness: Impediments to the Transfer of Best Practice Within the Firm. Strategic Management Journal, 17, 27-43. Recuperado el 23 de septiembre de 2018, de http://www.jstor.org/stable/2486989
Watts, H. (2000). The Personal Software Process (PSP) (CMU/SEI-2000-TR-022). Carnie Mellon University: Software Engineering Institute. Recuperado el 31 de Agosto de 2018, de https://resources.sei.cmu.edu/library/asset-view.cfm?assetid=5283
Wells, D. (1999). The Rules of Extreme Programming. Recuperado el 23 de septiembre de 2018, de http://www.extremeprogramming.org/rules.html
Zapata, J, (2018). Udo de tecnologías de pruebas de penetración para validación de seguridad de aplicaciones web basado en el top 10 de vulnerabilidades de OWASP. Recuperado el 18 de mayo de 2021, de Microsoft Word - Proyecto de Grado - Juliana Zapata V16.docx (unad.edu.co)