El proyecto VulneraNET pretende innovar en el proceso de desarrollo seguro de servicios, relacionando los procesos de desarrollo software con los procesos de detección, predicción y corrección de vulnerabilidades.

 Este objetivo general se desglosa en los siguientes objetivos científicos y tecnológicos: 

  • Investigar en la definición de procesos de desarrollo seguro para la detección temprana de vulnerabilidades.
  • Investigar en la mejora de la gestión del conocimiento de consultoría de seguridad mediante la aplicación de técnicas de etiquetado social para procesos y vulnerabilidades. En particular, se investigará cómo combinar estas etiquetas sociales con la ontología subyacente de un wiki semántico. El proyecto validará cómo el uso de redes sociales puede facilitar la auditoría de seguridad de un equipo de auditores y si este enfoque mejora la comunicación con el equipo de desarrollo. Además, el proyecto analizará cómo este enfoque puede ser aplicado para la detección de vulnerabilidades por comunidades de software libre, para su adopción en el proyecto OWASP.
  • Facilitar la gestión de la información de vulnerabilidades. Los formatos actuales de intercambio de información de vulnerabilidades de seguridad están orientados al anuncio de vulnerabilidades descubiertas y a su posible corrección con parches. El proyecto investigará en cómo describir fallos encontrados en el análisis de una aplicación, con el fin de poder combinar información de fallos mediante mashups que permitan combinar y personalizar esta información.
  • Investigar en técnicas de auditoría de aplicaciones mediante escaneo de caja negra. Continuando con la investigación realizada en el proyecto OWASP Wapiti codesarrollado por Germinus, en este proyecto se pretende avanzar en la detección de las pruebas definidas en la guía de auditoría de OWASP. En concreto, el proyecto extenderá Wapiti para pruebas de recopilación de información, gestión de configuración, autenticación, gestión de sesiones, validación de datos, denegación de servicio y seguridad Ajax.
  • Investigar en técnicas de análisis de código para detectar vulnerabilidades. El proyecto investigará en cómo el análisis de código puede detectar vulnerabilidades y en cómo facilitar que los desarrolladores entiendan el problema y la solución que deben seguir, pues es frecuente que no tengan nociones básicas de seguridad.
  • Investigar en técnicas para la predicción y corrección de vulnerabilidades. Si bien es importante detectar las vulnerabilidades, es aún más importante poder predecirlas antes de que se sufra un ataque. Este objetivo investigará en cómo beneficiarse de técnicas estadísticas y de inteligencia artificial para este fin.
VulneraNET Brochure
Ver más documentos de Grupo Gesfor I+D+i.

Proyecto cofinanciado por el Ministerio de Industria, Turismo y Comercio dentro del Plan Nacional de Investigación Científica, Desarrollo e Innovación Tecnológica 2008-2011. -

TSI-020302-2009-64 

TSI-020100-2010-966