Synopsis News

SYNOPSIS NEWS Número 1
Synopsis
News
19 años- Abril, 2014
EL NEXO ENTRE LA TECNOLOGÍA Y SUS NEGOCIOS
Un Nuevo Aniversario
por Lalo Zavala
Con mucho agrado recibo el encargo para dirigir
unas palabras con motivo del aniversario 19 de
nuestra
empresa.
En 1995 llegamos a Caminos del Inca 1570 con el
programa de partners de IBM, un joven Ricardo y
sus socios orgullosos ostentaban un logo de
Sybase, que en aquellos momentos con su
Powerbuilder se estaba dando inicio a la era Client
Server, eclipsando el dominio que por años habían
mantenido las aplicaciones en Fox y Clipper. El
entendimiento de esta dinámica de la industria
seria clave en la decisión que tomaría Synopsis
para enrolarse en el programa de software IBM
con el Sistema Operativo OS/2 y tomar las
herramientas de desarrollo Visual Age, con
tecnología orientada a objetos.
Ese año, el primer almuerzo anual que organizó
Synopsis, fue en una mesa larga de un restaurant
de San Isidro, con la participación de Citi y P&G,
sus dos primeros clientes y algunos pocos de IBM
Software Group … quién iba a pensar que años
después el Gerente General de IBM y de las
empresas más grandes de tecnología serian
asistentes conspicuos a este evento.
En 1998 se marca un hito importante para
Synopsis: el Banco de Lima Sudameris pide
desarrollar una página de Banca por Internet con
tecnología IBM, Ricardo asumió personalmente el
proyecto, programando en un pequeño escritorio
en la puerta del Centro de Cómputo, Piso 5 del
edificio de Miroquesada en el centro histórico. De
este esfuerzo se generarían futuros y exitosos
proyectos en la plataforma IBM WebSphere ,
comenzando en el Banco Wiese Sudameris, luego
Banco Sudamericano, hoy ScotiaBank y
convirtiendo el middleware IBM en un estándar de
la banca peruana, con un liderazgo único en la
región.
Desde ese momento y durante los siguientes años
desde IBM, Microsoft, Oracle y SAP, siempre fue
Synopsis un aliado, requerido por todos los
fabricantes tecnológicos por su permanente
búsqueda de innovación, compromiso con el
cliente y excelencia en los productos que entrega.
Esos valores son los que hacen que hoy Synopsis
sea una empresa líder con mas de 30 clientes del
top 100 y más de 130 colaboradores.
Mirando al Futuro: Hoy nos encontramos en un
entorno en que la tecnología de la información
acapara las primeras páginas de cualquier medio
de comunicación, las tendencias de redes
sociales, big data, apps móviles y computación en
la nube hacen que nuestros principales clientes
estén pendientes de cómo asumimos esas
tecnologías para incorporarlas a sus empresas.
Nuestro lema: "El nexo entre la tecnología y su
negocio" está hoy más vigente que nunca.
El pertenecer a esta casa nos debe llenar de
orgullo y asumir el reto de ser un profesional de
alto nivel en el mercado IT. El límite a nuestras
carreras en Synopsis está determinado por lo que
cada uno defina, así lo demuestran todos los "ex"
que hoy militan en las mejores empresas del país,
en los departamentos de TI.
Este año queremos lograr la internacionalización
de nuestras operaciones en por lo menos dos
países, vamos a retomar la iniciativa de colocar
nuestros especialistas para dictar cursos en el
exterior a través del convenio con AVNET, y en
contraparte tendremos la visita de estudiantes
para prácticas de Computer Science de
prestigiosas universidades norteamericanas, con
el objetivo de seguir buscando el acceso al
conocimiento que marca la diferencia. Esperamos
seguir creciendo y tener un excelente 2014 gracias
al esfuerzo y compromiso de cada uno de ustedes.
EN ESTE NÚMERO
Re certificación CMMi3
Cada 3 años las empressas certificadas en CMMi
deben volver a certificar sus procesos. El año 2013,
volvimos a obtener la certificación gracias a la
participación del Area de Calidad y los diversos
equipos de proyecto.
La celebración de este logro fue realizada en el
Bowling de Larco Mar, con la asistencia de nuestros
colaboradores. Fue una noche muy divertida donde
pudimos compartir momentos de integración.
Página 1

NÚMERO 1 2
Reconocimientos 2013
Felicitaciones Chicos por haber sobresalido el
año 2013.
Ustedes son ejemplo para todos nosotros.
Sigan así.
Cuidando nuestro Planeta
Gxxxxxeoffroy Meder
crea tus carpetas y archivos digitales, sólo
imprime documentos importantes, con ello
evitarás el uso innecesario de energía y la tala de
miles de árboles.
2- Ahorra energía con tu PC
3- Dona los equipos viejos de tu oficina a
colegios u otras organizaciones
4- Viaja sólo cuando sea necesario
1- Recicla el papel
Recicla el papel de tu oficina, y reutilízalo
imprimiendo en ambas caras de la hoja. Las
empresas pueden recolectar grandes sumas de
papeles que pueden ser utilizados nuevamente
para elaborar nuevos. Entra en la era digital y
Permite que tu PC funcione con un convertidor
de poder y habilita la función que maneja el
ahorrador de pantalla para que
automáticamente se apague cada vez que no se
utiliza la máquina.
Utiliza el correo electrónico o el teléfono para
comunicarte o realiza más videos conferencias
para evitar los viajes innecesarios que
contribuyen al uso de combustibles fósiles
Todos podemos hacer mucho por nuestro planeta. Es sólo cuestión de
cambiar nuestros hábitos a diario. Ya sea en la casa, el colegio, la
oficina o en la calle cada uno de nosotros podemos contribuir a
contrarrestar problemas como el cambio climático. Demos el ejemplo,
aprendamos y enseñemos a nuestros amigos y familiares.

NÚMERO 1 3
SYN DAY 2013
Algunas fotos de la premiaciones
Fin de Año Synopsiano - 2013
CITAS CITABLES
“Dime y lo olvido, enséñame y lo recuerdo,
involúcrame y lo aprendo”
— Benjamín Franklin
CHISTES INFORMATICOS
¿Cuántos programadores se necesitan para
cambiar un foco?
XP (eXtreme Programming):
Dos, obvio... Uno que lo cambia mientras
explica cada paso que realiza mientras el otro
escucha las explicaciones de qué es un socket.

SYNOPSIS NEWS Número 1
PRÓXIMOS CUMPLEAÑOS
Junio
ANIVERSARIOS
SYNOPSIANOS (ENE – JUN)
SYNOPSIANITOS 2014
Alejandro - BB de
Juan C Montoya
Andrea – BB de
Eliana Zubiaga
Valentina – BB de
Jaime Barboza
Valeria – BB de
Oscar Huaraz

El segu ndo tag define el bea n de nu estra implementación del UserDetailsService, servicio clave en la autenticaci ón.
NÚMERO 1 5
Synopsiando
por Geoffroy Meder
Sobre el autor
Seguridad de
Aplicaciones Web Java
En todas las etapas del proceso de desarrollo
de software desde el diseño hasta el
despliegue y la configuración de los
servidores de aplicación y web, la seguridad
de una aplicación web java tiene que tomarse
en cuenta.
Hay muchos temas de importancia cuando se
trata de la seguridad de aplicaciones web,
pero en este artículo me voy a enfocar en tres
temas importantes: la autenticación, le
gestión de permisos y la validación de datos.
Para la autenticación voy a presentar unos
ejemplos basados en el framework
SpringMVC y Spring Security, para la parte
de validación voy a usar Hibernate Validators
( JSR 303 )
1.Autenticación y autorización con
Spring Security.
Spring Security : Es un frameworks Java
basado en Spring y que proporciona
mecanismo de autenticación, de
autorización y implementa unos patrones de
seguridad como el acceso vía usuario
contraseña. Spring security puede utilizarse
con varios mecanismos de autenticación
como por ejemplo con LDAP, con
autenticación de formulario, con
autenticación simple pero en este ejemplo
vamos a crear un servicio de autenticación
personalizado.
1,1 Configuración
1.1.1 Web.xml
En el archivo web.xml del proyecto es
necesario agregar la configuración de Spring
security siguiente:
springSecurityFilterChain
org.springframework.web.filter.D
elegatingFilterProxy
1.1.2 Spring Security XML
Spring Security de la misma manera que
Spring se configura con ayuda de archivos
XML y de anotaciones. Creamos un archivo
base de configuración de Srinp Security:
El archivo precedente está compuesto de 3
tags importantes:
: define los recursos protegidos, como
vamos a autenticar el usuario y donde le
redirigimos si sus credenciales no son
correctos. El atributo « use-expressions » es
una novedad de Spring 3 que permite definir
reglas de autenticas con Expression
Language. En nuestro caso solo queremos
usuarios autenticados ( isAuthenticated(),
devuelve true si el usuario no es anónimo).
Para el resto dejamos spring generar un
formulario HTML genérico para el ingreso de
credenciales en el navegador (
)
El último tag define el “authenticationmanager”
que contiene la configuración de
autenticación y la implementación del
servicio. Realizamos una comparación de
contraseña con hash SHA256.
Geoffroy Meder ingresó a Synopsis en
Agosto del 2010 integrándose al Área de
Calidad.
Actualmente se encuentra a la cabeza del
Área de Investigación & Desarrollo.
En su trabajo apoya a los diversos equipos de
proyectos en las revisiones de auditoría y
brinda recomendaciones de las mejores
prácticas de programación.
Participa en proyectos de consultoría, apoya
en el proceso de reclutamiento y apoya en el
crecimiento tecnológico.
Aprovechemos y apliquemos sus
recomendaciones en este artículo muy
interesante.
Los interesados en escribir algún artículo
técnico, escribir a giescobar@synopsis.ws

NÚMERO 1 6
… Synopsiando
1.2 El servicio de autenticación
El código siguiente representa una
implementación personalizada de
UserDetailsService.
public class LoginService implements
UserDetailsService {
@Autowired
private UserService userService;
@Override
public UserDetails
loadUserByUsername(String username)
throws UsernameNotFoundException {
String passWord =
userService.getPassword(username);
if(passWord==null)
{ throw new
BadCredentialsException("Password not
found");
}
User login = new User(username, passWord,
loadAuth(username));
return login;
}
private Collection
loadAuth(String login){
List auth = new
ArrayList();
SimpleGrantedAuthority user = new
SimpleGrantedAuthority("User");
auth.add(user);
if("admin".equals(login))
{
SimpleGrantedAuthority admin = new
SimpleGrantedAuthority("Admin");
auth.add(admin);
}
return auth;
}
}
Todo el trabajo lo hace un sólo método que
se tiene que reescribir y que se llama
loadUserByUsername. Este método se
encarga de crear una implementación de
UserDetails y devolverla. Una
implementación básica es la clase “User” que
tiene un constructor con 3 parámetros, que
son usuario, contraseña y roles del usuario.
Los roles en este ejemplo son hardcodeados
pero pueden ser cargados de diferentes
fuentes (base de datos, properties, ldap).
Spring se encarga de comparar contraseñas
(en nuestro ejemplo, hash SHA 256 de la
contraseña) y aceptar o rechazar la
autenticación.
Otra funcionalidad interesante es la
restricción de acceso que Spring Security
proporciona a través de anotaciones.
Existe una anotación llamada
@PreAuthorize que de manera rápida y
simple permite restringir el acceso de un
método de una clase.
Para restringir el acceso a un método
solamente al rol “Admin” :
@Controller
public class HomeController {
@PreAuthorize("hasRole('Admin')")
@RequestMapping(value = "/admin",
method = RequestMethod.GET)
public String admin(Principal user) {
logger.info("User '" + user.getName()
+ "' is accessing adminOnly content");
return "adminOnly";
}
}
2. Validaciones Con Hibernate Validator
Además de la parte de autenticación y
autorización un proceso esencial para
reforzar la seguridad de una aplicación web:
la validación de la data recibida del usuario.
Muchas técnicas de hacking como la
inyección SQL o el XSS (cross site scripting)
explotan una mala validación de la data
recibida del usuario.
Una norma de especificación JSR 303,
conocida como “Bean Validation” permite a
través de anotaciones implementar un
mecanismo rápido y intuitivo de validación
de Beans. Hibernate Validators proporciona
implementaciones de validaciones comunes
en el mundo java web.
La validación funciona en dos acciones,
primero crear las reglas de validaciones en
los Beans y segundo validar el Bean. La
configuración de la reglas de validación se
realiza con anotaciones en campos o
métodos de java Bean. La clase siguiente
muestra unos de los varios “validators” que
tiene Hibernate validator.
public class User {
@Range(min=0,max=200)
private String id;
@NotEmpty
@SafeHtml(whitelistType=WhiteListType.B
ASIC)
private String code;
@NotEmpty
@SafeHtml(whitelistType=WhiteListType.B
ASIC)
private String name;
... //setter and getter
}
@Range y @NotEmpty son explicitios,
@SafeHtml permite validar si el HTML no
tiene TAG inseguros como por ejemplo
( para usar @SafeHtml se tiene que
agregar el jar “jsoup” al classpath).
El segundo paso es la validación del bean con
factories de hibernate o directamente con
una anotación de Spring MVC.
Validación con Spring MVC
@RequestMapping(value = "/test",
method = RequestMethod.POST)
public String test(@ModelAttribute @Valid
User user, BindingResult br) {
if(br.hasErrors())
return "errorPage";
return "home";
}
{
}
@Valid indica la validación del Bean User.
Los resultados se encuentran en el segundo
parámetro, BindingResult ( errores, mensajes
).
(Para imprimir mensajes en una JSP se puede
utilizar tags de Spring )
Validación con factory de
Hibernate
ValidatorFactory factory =
Validation.buildDefaultValidatorFactory();

NÚMERO 1 7
Validator validator = factory.getValidator();
Set
constraintViolations =
validator.validate(user);
String message =
constraintViolations.iterator().next().getMes
sage();
No existen aplicaciones 100% seguras pero
hay que tratar de construir productos más
seguros con ayuda de frameworks y
herramientas que nos permitan implementar
fácilimente aspectos de seguridad a veces
complejos y fastidiosos. Los ejemplos
presentados permiten solucionar problemas
de seguridad comunes de aplicaciones web.
Para mayor detalle, les invito a
consultar los siguientes enlaces:
http://static.springsource.org/springsecurity/site/
http://static.springsource.org/springsecurity/site/
http://static.springsource.org/spring/docs/3.1
.x/spring-framework-reference/html/,
http://www.hibernate.org/subprojects/valida
tor.html
http://docs.jboss.org/hibernate/validator/4.2/
referenco/en-US/html_single
.
Los interesados en publicar artículos de
tecnología, contactarse con Gisella Escobar:
giescobar@synopsis.ws

NÚMERO 1 8
Nuevos Synopsianos 2014
Enero - Abril
Rosario Aparicio
Analista Programadora
AS/400
Fernando Caballero
Analista Programador
AS/400
Enrique García B.
Analista Programador
AS/400
Paul Inche
Soporte & Arquitectura
Rosaluz Ccucho
Asistente Comercial
Amelia López
Analista Programadora
Lucía Azuaje
Supervisora de
Learning Services
Andrea Soto
Analista de Calidad
Jeniffer Mamani
Asistente RRHH
Kevin Zelada
Analista de Soporte
Milko Quimper
Analista Programador
Javier Quintana
Analista Programador

NÚMERO 1 9
Cualquier parecido con la realidad…