Descripción.
Una auditoría de código estático es un proceso metodológico en el que se detectan problemas de seguridad sobre el código fuente de la aplicación utilizando herramientas automáticas e inspección manual. El análisis estático es un proceso que se realiza sobre el código de una aplicación sin su posterior compilación/interpretación y ejecución. El principal objetivo es el de encontrar defectos de codificación en el ciclo de vida del desarrollo y plantear posibles soluciones que ayuden a mitigar dichos problemas. Las herramientas utilizadas para éste tipo de análisis permiten señalar las ubicaciones en donde existen defectos que podrían afectan a la seguridad y el desempeño de la aplicación, teniendo en cuenta que en ocasiones pueden producirse falsos positivos que deben descartarse por medio de la inspección manual.
Características del servicio.
- La metodología utilizada en las auditorías que ejecutamos en The Hacker Way responde estándares abiertos y ampliamente aceptados por la industria, entre los que destacan el ASVS (Application Security Verification Standard) definido por la comunidad OWASP. Dichas metodologías define las bases para el diseño y elaboración de pruebas de seguridad, incluyendo los elementos técnicos a tener en cuenta durante la auditoría y buenas prácticas para el descubrimiento de defectos.
- Definición y categorización de los módulos de la aplicación. Dicha categorización se basa en los componentes funcionales y transversales de la aplicación.
- Definición de las herramientas automatizadas (SAST) que se utilizarán en la revisión de código en función de las características concretas de la aplicación.
- Detección de defectos en el software base utilizando herramientas automatizadas.
- Detección de defectos en frameworks, librerías y componentes desarrollados por terceros que se encuentran integrados en alguna de las etapas del ciclo de desarrollo.
- Análisis manual de los “hotspots” detectados por las herramientas automatizadas para
descartar falsos positivos. - Análisis manual completo de la aplicación utilizando un IDE compatible con la aplicación. El objetivo es identificar defectos o problemas que no se han podido detectar por parte de las herramientas automatizadas empleadas.
- Partiendo de los resultados anteriores se procede a la clasificación de cada problema
descubierto utilizando el catalogo de defectos definido. - Análisis individual de cada defecto para determinar su causa y posibles efectos. Se proponen soluciones que permitirán mitigar o reducir el impacto y riesgo de la amenaza.
- Generación del informe incluyendo los defectos descubiertos, impacto, riesgo y criticidad de cada uno, así como las acciones que se podrían aplicar en el código si el cliente lo considera oportuno.
¿Cómo trabajamos?
Escuchamos tus necesidades y te ofrecemos una propuesta para satisfacerlas. En este punto buscamos la mejor alternativa para ti y tu organización, después de todo, queremos que cuando termine el servicio quedes totalmente satisfecho.
Si estás conforme con nuestra propuesta, procedemos a firmar acuerdos de confidencialidad y sobre la prestación del servicio para que tengas la plena seguridad de que todos los trabajos se realizarán en un contexto legal y legitimo, no puede ser de otra manera.
Comenzamos con la ejecución del plan de auditoría, utilizando nuestras mejores herramientas y conocimientos para prestar el mejor servicio. Nuestra bitácora siempre será las especificaciones y requisitos acordados.
Ponemos a tu disposición los informes con cada uno de los descubrimientos y pruebas realizadas, con el objetivo de que tengas una perspectiva completa de los problemas de seguridad detectados. Además, te sugeriremos soluciones concretas que de ser implementadas, ayudarían a solucionar el problema. Esto también lo podemos hacer nosotros como parte de nuestro porfolio de servicios, ya sea que la solución sea aplicar técnicas de bastionado de servidores o desarrollo de software seguro.
