Auditoría de código – The Hacker Way

Descripción.

Una auditoría de código estático es un proceso metodológico en el que se detectan problemas de seguridad sobre el código fuente de la aplicación utilizando herramientas automáticas e inspección manual. El análisis estático es un proceso que se realiza sobre el código de una aplicación sin su posterior compilación/interpretación y ejecución. El principal objetivo es el de encontrar defectos de codificación en el ciclo de vida del desarrollo y plantear posibles soluciones que ayuden a mitigar dichos problemas. Las herramientas utilizadas para éste tipo de análisis permiten señalar las ubicaciones en donde existen defectos que podrían afectan a la seguridad y el desempeño de la aplicación, teniendo en cuenta que en ocasiones pueden producirse falsos positivos que deben descartarse por medio de la inspección manual.

Características del servicio.

La metodología utilizada en las auditorías que ejecutamos en The Hacker Way responde estándares abiertos y ampliamente aceptados por la industria, entre los que destacan el ASVS (Application Security Verification Standard) definido por la comunidad OWASP. Dichas metodologías define las bases para el diseño y elaboración de pruebas de seguridad, incluyendo los elementos técnicos a tener en cuenta durante la auditoría y buenas prácticas para el descubrimiento de defectos.
Definición y categorización de los módulos de la aplicación. Dicha categorización se basa en los componentes funcionales y transversales de la aplicación.
Definición de las herramientas automatizadas (SAST) que se utilizarán en la revisión de código en función de las características concretas de la aplicación.
Detección de defectos en el software base utilizando herramientas automatizadas.
Detección de defectos en frameworks, librerías y componentes desarrollados por terceros que se encuentran integrados en alguna de las etapas del ciclo de desarrollo.
Análisis manual de los “hotspots” detectados por las herramientas automatizadas para
descartar falsos positivos.
Análisis manual completo de la aplicación utilizando un IDE compatible con la aplicación. El objetivo es identificar defectos o problemas que no se han podido detectar por parte de las herramientas automatizadas empleadas.
Partiendo de los resultados anteriores se procede a la clasificación de cada problema
descubierto utilizando el catalogo de defectos definido.
Análisis individual de cada defecto para determinar su causa y posibles efectos. Se proponen soluciones que permitirán mitigar o reducir el impacto y riesgo de la amenaza.
Generación del informe incluyendo los defectos descubiertos, impacto, riesgo y criticidad de cada uno, así como las acciones que se podrían aplicar en el código si el cliente lo considera oportuno.

¿Cómo trabajamos?

0. Contacto inicial y definición de requisitos.

Escuchamos tus necesidades y te ofrecemos una propuesta para satisfacerlas. En este punto buscamos la mejor alternativa para ti y tu organización, después de todo, queremos que cuando termine el servicio quedes totalmente satisfecho.

1. Acuerdo.

Si estás conforme con nuestra propuesta, procedemos a firmar acuerdos de confidencialidad y sobre la prestación del servicio para que tengas la plena seguridad de que todos los trabajos se realizarán en un contexto legal y legitimo, no puede ser de otra manera.

2. Ejecución.

Comenzamos con la ejecución del plan de auditoría, utilizando nuestras mejores herramientas y conocimientos para prestar el mejor servicio. Nuestra bitácora siempre será las especificaciones y requisitos acordados.

3. Entrega.

Ponemos a tu disposición los informes con cada uno de los descubrimientos y pruebas realizadas, con el objetivo de que tengas una perspectiva completa de los problemas de seguridad detectados. Además, te sugeriremos soluciones concretas que de ser implementadas, ayudarían a solucionar el problema. Esto también lo podemos hacer nosotros como parte de nuestro porfolio de servicios, ya sea que la solución sea aplicar técnicas de bastionado de servidores o desarrollo de software seguro.

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.