Auditoría de código fuente

Auditoría de código fuente

En las auditorías de seguridad de código fuente, el equipo de expertos de Tarlogic trata de encontrar posibles vulnerabilidades y fallos de seguridad en el código fuente utilizando estas técnicas de análisis estático

Contacto
servicios de auditoria de codigo fuente

Objetivos de la auditoría de código fuente

El análisis estático del código fuente (SAST, Static Application Security Testing) consiste en analizar de manera automática, mediante una herramienta de seguridad, el código fuente del programa, aplicación o servicio en busca de problemas de seguridad, sin necesidad de la ejecución del mismo.

En las auditorías de código fuente, el equipo de expertos de Tarlogic Security trata de encontrar posibles vulnerabilidades y fallos de seguridad en el código fuente utilizando estas técnicas de análisis estático, proceso que se conoce habitualmente como auditoría de caja blanca o white-box.

El resultado de este esfuerzo permitirá al cliente conocer el estado de seguridad del código fuente analizado a un alto nivel de profundidad.

Beneficios de la auditoría de código fuente

  • No tiene impacto en los entornos productivos, ya que se trata de un análisis estático.
  • Nuestra auditoría de código fuente permite conocer un gran tipo de vulnerabilidades y malas prácticas de desarrollo de manera rápida.
  • Permite analizar con profundidad todos los flujos posibles de ejecución del código fuente.
Auditoria de codigo

Descripción general

En las auditorías de código fuente se analiza habitualmente todo el código fuente de un componente o aplicación concreta de manera automática haciendo uso de una solución SAST.

Una vez se dispone de esta información, se procede a realizar el filtrado de falsos positivos, habitualmente con la ayuda del equipo de desarrollo. También se comentan las diversas malas prácticas de desarrollo seguro que se puedan encontrar de manera general en el código fuente.

Esta información es después documentada y presentada en un informe donde se pormenorizan todas las vulnerabilidades encontradas, una breve descripción de cada una y su posible solución.