Formación en Ingeniería del Software

A pesar de que me dedico a ello, en esta bitácora no suelo hablar mucho de formación y enseñanza. En todo caso, vi If You’re Going to Teach an Undergrad Intro to Software Engineering… y pensé que aunque no es un tema de mi especialidad debería guardarlo en algún sitio. ¿Cuál mejor que este?

Además, me ha interesado que varias referencias tratan sobre desarrollo de software libre, lo que me parece un plus.

Anuncios

Seguimiento y comprensión de fallos relacionados con la seguridad

Uno de los problemas cuando nos entra la preocupación por el desarrollo seguro es integrarlo en las rutinas habituales de ingeniería del software: a los fallos y sus medidas habituales (pruebas y todo lo relacionado) se añaden los fallos de seguridad que también son fallos, con características un poco especiales. Robert Auger nos cuenta en Tracking and understanding security related defects algunas ideas sobre el tema: básicamente integrarlos en el sistema de seguimiento de fallos (bug tracking) y marcarlos adecuadamente (o además) como fallos de seguridad para que podamos hacer un seguimiento (sin olvidar que algunos fallos de seguridad no se marcarán como tales) y también hacer algo de pedagogía (proporcionando listas de fallos frecuentes, apoyo a los desarrolladores que controlen todavía mucho de estos temas, vigilancia sobre si se están tratando adecuadamente …).

Redes sociales: los expertos también caen

Social es otro de los apellidos ‘infames’ que le colocan a la Ingeniería. El otro que me viene a la cabeza y que me sabe todavía peor es el de Financiera. Parecen aplicarse a cosas complicadas y sofisticadas, difíciles de controlar para el común de los mortales y que tienen efectos negativos en la sociedad. Pero me desvío.

En el artículo [PDF] Getting In Bed with Robin Sage hablan de un experimento que consistió en crear un perfil de experta en seguridad con la foto de una chica atractiva, hacerla amiga de unos cuantos expertos ‘mediáticos’ (que, por definición, serían menos vigilantes a la hora de aceptar amistades) y, a partir de allí, ver qué pasaba.

Esencialmente, parece que algunos (no está cuantificado) de los expertos trataron de relacionarse con ella más allá de lo que sería esperable (ofreciéndole trabajo, información y quién sabe qué más…) y otros (tampoco cuantificados) detectaron rápidamente el engaño.

En la línea que ya hemos comentado otras veces de algunas empresas de seguridad de querer ganar notoriedad a base de ‘estudios’ pero con una conclusión esperable: los expertos en seguridad no gestionan mejor que los demás su ‘estancia’ en estos sitios.

En The Robin Sage experiment: Fake profile fools security pros un resumen periodístico.

Bola extra: como dicen en alguno de los comentarios y nos confirma la Wikipedia, Robin Sage es una fase del entrenamiento militar que dura cuatro semanas con ejercicios similares a los de una misión real, lo que habría de haber levantado sospechas para los expertos relacionados con las fuerzas armadas (o confianza, por manejar lenguaje interno, quién sabe) y que claramente debería haber sido identificado por algunos de ellos.