SuperSEC

Congreso nacional sobre desarrollo seguro de software

12 y 13 de mayo de 2018 (Almería)

El comité organizador se complace en invitarle a asistir a la primera edición de SuperSEC, el congreso nacional de desarrollo de software seguro organizado por el grupo local de OWASP en Almería (http://www.owasp.org). Tendrá lugar en el campus de la Universidad de Almería (UAL).

Llamada a la participación

Existe una gran necesidad de implantar un cambio, de crear una cultura que sea capaz de factorizar la seguridad en el software desde la primera etapa de desarrollo. Especialmente cuando se consideran sectores como el de defensa, el financiero, en definitiva, sectores críticos. A medida que el desarrollo de software se vuelve más complejo, distribuido y concurrente, los problemas de seguridad tienen una influencia cada vez mayor en la calidad del software. Es indudable que el software inseguro perjudica la reputación de una organización, a sus clientes, socios e inversores; que aumenta los costes, ya que las empresas se ven obligadas a reparar aplicaciones poco confiables; y retrasa otros esfuerzos de desarrollo.

Las vulnerabilidades no son como el resto de defectos que puede padecer el software y precisan ser tratadas por separado. Una de las vías más eficientes para combatir la raíz del software malicioso o software que catalice la expansión del software malicioso es mejorar el proceso de desarrollo actual, defectuoso en este sentido. La complejidad del proceso de desarrollo de software requiere un alto nivel de especificaciones de requisitos de seguridad. En el proceso de desarrollo, una de las influencias más fuertes en la seguridad del sistema es la complejidad de su diseño. En igualdad de condiciones, para la mayoría del software no trivial existe una relación casi lineal y directa entre el número de líneas de código y el número de errores en el software. Lo que indica que el software debe diseñarse de la manera más sencilla posible (C. Perrin ‘Design simplicity is an important element of open source security’. IT Security, 10 Jan 2011 y J Allen ‘Measuring Software Security’. Extraído de 2009 CERT Research Annual Report, Carnegie Mellon University, pp. 64-65, 2010). La seguridad debe diseñarse desde el inicio del proceso de desarrollo y las características de seguridad han de ser probadas y verificadas antes de desplegar la aplicación. Al construir el sistema siguiendo un proceso disciplinado que incorpora seguridad, los costes de desarrollo se pueden definir y controlar con mayor precisión, los costes de servicio y mantenimiento se pueden reducir y el tiempo necesario para las modificaciones se puede minimizar drásticamente (B. Whyte; J. Harrison. ‘Secure Software Development’. Software Security Failures: who should correct them and how, Issue V1.0 June 2008.). Por lo tanto, se puede concluir que sólo mediante el aumento de los esfuerzos orientados a la seguridad en todo el ciclo de vida del desarrollo de software podremos diseñar un software robusto y seguro. La seguridad del software se ve amenazada en varios puntos a lo largo de su ciclo de vida. La mejor forma de prevenir vulnerabilidades en el software es incorporar proactivamente la seguridad y otros requisitos no funcionales en todas las fases del ciclo de vida del desarrollo de software. La integración temprana de los procesos de seguridad en el ciclo de vida del desarrollo conduce a un desarrollo de software más barato. Dada la importancia de desarrollar software seguro, existe la necesidad de crear una cultura que tenga en cuenta la seguridad del software desde el principio, de manera predeterminada. La forma más efectiva de lograr un software seguro es que sus procesos de ciclo de desarrollo se ajusten rigurosamente a principios y prácticas seguras de desarrollo, implementación y mantenimiento.

La conferencia pretende atraer contribuciones en el ámbito del desarrollo de software seguro tanto desde la perspectiva teórica como pragmática de cualquiera de los aspectos citados anteriormente: desde el proceso de desarrollo a las técnicas de verificación formal. Con la intención de orientar se sugieren contribuciones centradas en los siguientes temas, sin perjuicio de otros que puedan resultar igualmente interesantes:

  • SDLC
  • Cloud Security
  • Threat modeling
  • Mobile security
  • Browser security
  • HTML5 security
  • Internet of Things
  • Crypto currency and payments
  • OWASP tools or projects in practice
  • New technologies, paradigms, tools
  • Privacy in web apps, Web services (REST, XML) and data - storage
  • Operations and software security
  • DevOps
  • Management topics in Application Security: Business Risks, Outsourcing/Offshoring, Awareness Programs, Project Management, Managing SDLC

Envío de contribuciones y participación como conferenciante

Fechas relevantes:

  • La recepción de resúmenes o propuestas de conferencia empieza el 11 de diciembre.
  • El plazo de admisión termina el día 1 de abril de 2018.
  • La notificación de aceptación a los autores se enviará el día 15 de abril de 2018.
  • La celebración del congreso tendrá lugar los días 12 y 13 de mayo.

Invitamos a los autores a que envíen sus trabajos electrónicamente a modo de resumen técnico cuyo contenido no exceda una página. El envío debe realizarse a través de la aplicación web OSEM de gestión de conferencias. El formato del envío es texto claro enriquecido markdown. Los envíos pueden contener ilustraciones o imágenes, referidas en el resumen pero alojadas en servicios de terceros. Necesitará registrarse en la aplicación antes de poder hacer su envío.

También puede acceder al formulario de envío de propuestas a través de la dirección https://supersec.es/conferences/

Comité de organización

  • José Antonio Álvarez Bermejo - Universidad de Almería
  • Julián García Donaire - Universidad de Almería
  • David Gil Belmonte - Eurovía
  • Juan Antonio López Ramos - Universidad de Almería
  • Jesús Marín García - líder del grupo local OWASP Almería
  • Ismael Olea González - Grupo Adarve

Comité científico/técnico

  • José Antonio Álvarez Bermejo - Universidad de Almería
  • Santiago Escobar Román - Universitat Politècnica de València
  • David Escorial Rico - Agencia Espacial Europea
  • Juan Antonio López Ramos - Universidad de Almería
  • Jesús Marín García - líder del grupo local OWASP Almería
  • Francisco Navarro - CISO BCC
  • Francisco José Ramírez López - KPMG
  • Ángel Jesús Varela Vaca - Universidad de Sevilla
  • Zulayka Vera Urueña - IBM

Para cualquier información adicional puede dirigirse al equipo de organización a través de los siguientes medios: