Auditoría de código fuente

Auditoría de código fuente

En las auditorías de seguridad de código fuente, el equipo de expertos de Tarlogic trata de encontrar posibles vulnerabilidades y fallos de seguridad en el código fuente utilizando estas técnicas de análisis estático

Contacto
servicios de auditoria de codigo fuente

Objetivos de la auditoría de código fuente

El análisis estático del código fuente (SAST, Static Application Security Testing) consiste en analizar de manera automática, mediante una herramienta de seguridad, el código fuente del programa, aplicación o servicio en busca de problemas de seguridad, sin necesidad de la ejecución del mismo.

En las auditorías de código fuente, el equipo de expertos de Tarlogic Security trata de encontrar posibles vulnerabilidades y fallos de seguridad en el código fuente utilizando estas técnicas de análisis estático, proceso que se conoce habitualmente como auditoría de caja blanca o white-box.

El resultado de este esfuerzo permitirá al cliente conocer el estado de seguridad del código fuente analizado a un alto nivel de profundidad.

Beneficios de la auditoría de código fuente

  • No tiene impacto en los entornos productivos, ya que se trata de un análisis estático.
  • Nuestra auditoría de código fuente permite conocer un gran tipo de vulnerabilidades y malas prácticas de desarrollo de manera rápida.
  • Permite analizar con profundidad todos los flujos posibles de ejecución del código fuente.
Auditoria de codigo

Descripción general

En las auditorías de código fuente se analiza habitualmente todo el código fuente de un componente o aplicación concreta de manera automática haciendo uso de una solución SAST.

Una vez se dispone de esta información, se procede a realizar el filtrado de falsos positivos, habitualmente con la ayuda del equipo de desarrollo. También se comentan las diversas malas prácticas de desarrollo seguro que se puedan encontrar de manera general en el código fuente.

Esta información es después documentada y presentada en un informe donde se pormenorizan todas las vulnerabilidades encontradas, una breve descripción de cada una y su posible solución.

Preguntas frecuentes sobre auditoría de código

¿Cómo se audita un código?

El código se puede auditar de dos formas, de forma estática o dinámica, cada forma tiene sus ventajas y sus herramientas para llevar a cabo el análisis.

Para auditar el código de forma estática será necesario el código como tal y una herramienta SAST (Static Application Security Testing) que pueda interpretar y tenga reglas para encontrar vulnerabilidades en el lenguaje con el que está escrito el código.

Finalmente, un analista revisará los resultados para poder validar que no se tratan de falsos positivos, identificar potenciales falsos negativos, y complementar la información que ofrece la herramienta para así tener un mejor grado de comprensión de la vulnerabilidad por parte de los desarrolladores.

¿Cuál es el objetivo de una auditoría de código?

Encontrar el mayor número de vulnerabilidades de la forma más eficiente y antes de que estas sean expuestas en un entorno productivo. De esta forma se evita el riesgo de exponer una vulnerabilidad con gran impacto.

También se evita el esfuerzo de mitigar una vulnerabilidad que puede afectar a varios módulos de la aplicación en una fase final del ciclo de vida del software donde el código está desarrollado por completo y cambiar el núcleo o módulos principales puede conllevar una tarea en cadena donde se modifique demasiada lógica de la aplicación.

¿Qué incluye una auditoría de código?

Una auditoria de código estático incluye el análisis del código mediante una herramienta SAST (Static Application Security Testing) que sea la adecuada para el lenguaje de programación y/o el framework que compone el código.

Posteriormente a revisar los resultados por un analista las vulnerabilidades y el estado de seguridad de la aplicación serán presentados en los dos formatos necesarios, el ejecutivo y técnico, para una mejor planificación de las actuaciones a llevar a cabo por parte de la parte de gestión y una mejor comprensión de las vulnerabilidades por la parte técnica.