Auditoría de código

Una auditoría de código estático es un proceso metodológico en el que se detectan problemas de seguridad sobre el código fuente de la aplicación utilizando herramientas automáticas e inspección manual.

El análisis estático es un proceso que se realiza sobre el código de una aplicación sin su posterior compilación/interpretación y ejecución. El principal objetivo es el de encontrar defectos de codificación en el ciclo de vida del desarrollo y plantear posibles soluciones que ayuden a mitigar dichos problemas.

Las herramientas utilizadas para éste tipo de análisis permiten señalar las ubicaciones en donde existen defectos que podrían afectan a la seguridad y el desempeño de la aplicación, teniendo en cuenta que en ocasiones pueden producirse falsos positivos que deben descartarse por medio de la inspección manual.

Comparte:

Características del servicio:

  • La metodología utilizada en las auditorías que ejecutamos en The Hacker Way responde estándares abiertos y ampliamente aceptados por la industria, entre los que destacan el ASVS (Application Security Verification Standard) definido por la comunidad OWASP. Dichas metodologías define las bases para el diseño y elaboración de pruebas de seguridad, incluyendo los elementos técnicos a tener en cuenta durante la auditoría y buenas prácticas para el descubrimiento de defectos.
  • Definición y categorización de los módulos de la aplicación.
  • Dicha categorización se basa en los componentes funcionales y transversales de la aplicación.
  • Definición de las herramientas automatizadas (SAST) que se utilizarán en la revisión de código en función de las características concretas de la aplicación.
  • Detección de defectos en el software base utilizando herramientas automatizadas.
  • Detección de defectos en frameworks, librerías y componentes desarrollados por terceros que se encuentran integrados en alguna de las etapas del ciclo de desarrollo.
    Análisis manual de los “hotspots” detectados por las herramientas automatizadas para descartar falsos positivos.
  • Análisis manual completo de la aplicación utilizando un IDE compatible con la aplicación. El objetivo es identificar defectos o problemas que no se han podido detectar por parte de las herramientas automatizadas empleadas.
  • Partiendo de los resultados anteriores se procede a la clasificación de cada problema descubierto utilizando el catalogo de defectos definido.
  • Análisis individual de cada defecto para determinar su causa y posibles efectos. Se proponen soluciones que permitirán mitigar o reducir el impacto y riesgo de la amenaza.
  • Generación del informe incluyendo los defectos descubiertos, impacto, riesgo y criticidad de cada uno, así como las acciones que se podrían aplicar en el código si el cliente lo considera oportuno.

¿Quieres saber como trabajamos? Consulta toda la información aquí.

Somos profesionales IT con amplia experiencia en proyectos de desarrollo de software y ciberseguridad. The Hacker Way nace con el objetivo de ofrecer servicios orientados al desarrollo seguro de software, seguridad ofensiva, protección de activos y hacking ético.