Source code security audits

Source code security audits

En las auditorías de seguridad de análisis de código, el equipo de expertos de Tarlogic trata de encontrar posibles vulnerabilidades y fallos de seguridad en el código fuente utilizando estas técnicas de análisis estático

Objetivos

El análisis estático del código fuente (SAST, Static Application Security Testing) consiste en analizar de manera automática, mediante una herramienta de seguridad, el código fuente del programa, aplicación o servicio en busca de problemas de seguridad, sin necesidad de la ejecución del mismo.

En las auditorías de seguridad de análisis de código, el equipo de expertos de Tarlogic trata de encontrar posibles vulnerabilidades y fallos de seguridad en el código fuente utilizando estas técnicas de análisis estático, proceso que se conoce habitualmente como auditoría de caja blanca o white-box.

El resultado de este esfuerzo permitirá al cliente conocer el estado de seguridad del código fuente analizado a un alto nivel de profundidad.

Beneficios

  • No tiene impacto en los entornos productivos, ya que se trata de un análisis estático.
  • Permite conocer un gran tipo de vulnerabilidades y malas prácticas de desarrollo de manera rápida.
  • Permite analizar con profundidad todos los flujos posibles de ejecución del código fuente.

Descripción general

En las auditorías de seguridad de análisis de código se analiza habitualmente todo el código fuente de un componente o aplicación concreta de manera automática haciendo uso de una solución SAST.

Una vez se dispone de esta información, se procede a realizar el filtrado de falsos positivos, habitualmente con la ayuda del equipo de desarrollo. También se comentan las diversas malas prácticas de desarrollo seguro que se puedan encontrar de manera general en el código fuente.

Esta información es después documentada y presentada en un informe donde se pormenorizan todas las vulnerabilidades encontradas, una breve descripción de cada una y su posible solución.