Cómo ManageEngine previene vulnerabilidades en AD360 durante su proceso de desarrollo

En ManageEngine, la seguridad siempre ha sido nuestra máxima prioridad. El proceso de desarrollo de AD360 incluye varias medidas de seguridad de primer nivel para garantizar que el producto cumple con los estrictos requisitos de seguridad de su organización.

El equipo de AD360 tiene un proceso de pruebas bien pensado para identificar problemas de seguridad en cada etapa de desarrollo del producto. También solucionamos lo antes posible cualquier vulnerabilidad reportada por comunidades externas o expertos.

Así es como evitamos las vulnerabilidades durante el ciclo de desarrollo del producto.

Procedimientos de prueba de productos

AD360 tiene un equipo de expertos en seguridad que siguen varios procedimientos de seguridad en diferentes etapas del desarrollo de funciones para garantizar que el producto esté protegido contra ciberataques. Realizamos las siguientes pruebas basadas en los estándares aconsejados por Open Web Application Security Project (OWASP).

1. Antes de que nuestros desarrolladores trabajen en una nueva función, el equipo de seguridad evalúa la arquitectura y diseño de la función. El objetivo principal de esta revisión es garantizar que los distintos módulos diseñados para esta nueva función cumplan con las normas de seguridad requeridas.
2. Una vez desarrollada la función, nuestro equipo de seguridad revisa el código para detectar cualquier violación de los estándares de codificación y seguridad.
3. Antes de publicar la función, realizamos una ronda de pruebas de caja negra y caja blanca. Esto se hace para asegurarse de que la nueva característica funciona como se espera, y se examinan otros posibles defectos en el código.

Además del equipo de seguridad de AD360, también hay un equipo de seguridad dedicado en ManageEngine cuyo objetivo es garantizar que todos los productos de ManageEngine cumplan con las estrictas normas de seguridad de TI. El equipo de seguridad de ManageEngine realiza las siguientes pruebas en AD360 antes de cada publicación:

1. Análisis de código estático: Mediante herramientas internas, se comprueba todo el repositorio de código del producto en busca de vulnerabilidades a nivel de código.
2. Prueba de autenticación: Estas pruebas identifican cualquier defecto en los diferentes procedimientos de autenticación de AD360.
3. Authorization testing: At this phase, the different user roles and permissions are checked to ensure they've been assigned correctly.
4. Prueba de autorización: En esta fase, se comprueban los diferentes roles y permisos de usuario para asegurarse de que se han asignado correctamente.
5. Prueba de configuración de seguridad: Los diversos componentes de terceros y todas las configuraciones utilizadas por estos componentes se comprueban para asegurarse de que están en el orden correcto.
6. Prueba de validación de entrada: Esta prueba evita los ataques de scripting entre sitios (XSS). También empleamos un filtro incorporado para prevenir tales ataques.

Informe de vulnerabilidad externa

A pesar de seguir los procedimientos antes mencionados, si un agente externo detecta alguna vulnerabilidad en nuestros productos, nos aseguramos de que se aplique un parche y se publique rápidamente una solución. En estos casos se adoptan las siguientes medidas:

1. Análisis: Analizamos la vulnerabilidad reportada.
2. Desarrollo de la corrección: Desarrollamos la solución lo antes posible.
3. Pruebas: Se llevan a cabo pruebas para garantizar que la corrección funciona, y que se aplican medidas de seguridad como protección contra otras posibles amenazas.
4. Liberación: Se publica la corrección de la vulnerabilidad para los clientes.

Nos aseguramos de que la solución llegue a nuestros clientes

Cuando publicamos correcciones de vulnerabilidades, hay varias maneras en que informamos a los clientes:

1. Anunciamos el lanzamiento de la corrección en nuestro foro de productos.
2. Las actualizaciones regulares que contienen nuevas funciones, mejoras y correcciones de errores se publican a intervalos frecuentes y se registran aquí.
3. Hacemos anuncios públicos:
   • Mantenemos a los clientes actualizados haciendo anuncios en la consola del producto.
   • Cubrimos las actualizaciones de seguridad en los boletines de productos.
   • En función de la gravedad de la vulnerabilidad, enviamos correos electrónicos a los clientes.