JumpStart Source Code Security Assessment

Detecte las fuentes de riesgo para las aplicaciones

Overview

La experiencia de Foundstone en la evaluación de la seguridad del código fuente se basa en la competencia de nuestros asesores expertos en software y aplicaciones de seguridad como servicio (SasS, por sus siglas en inglés), que han realizado auditorías de código fuente para aplicaciones de numerosos clientes, así como su propio software. Nuestros asesores expertos en SasS han trabajado como desarrolladores de software en proyectos de software empresarial y, por lo tanto, conocen el proceso de desarrollo de software, así como las causas y motivos de los errores de seguridad. Nuestra experiencia, junto con herramientas automatizadas avanzadas basadas en el análisis contextual, nos permite revisar una mayor cantidad de código con mayor rapidez, precisión y eficacia que otros servicios de consultoría de seguridad.

Mediante el servicio de revisión de código JumpStart Security Code Review, Foundstone realiza una evaluación focalizada que aúna el análisis automático de código con revisiones manuales. Las herramientas automatizadas no son, por sí solas, eficaces a la hora de detectar defectos en la arquitectura, además de que devuelven un gran número de falsos positivos. Los asesores expertos en SasS de Foundstone contribuyen a subsanar estas deficiencias, ya que ofrecen a su equipo resultados exactos y detallados que podrán utilizar para mejorar de inmediato la seguridad de su aplicación.

Principales ventajas

El equipo de software y aplicaciones de seguridad como servicio de Foundstone pone a disposición de los clientes su experiencia en el ámbito de la seguridad del software recabada en su paso por organizaciones de desarrollo de software para empresas. Además, nuestros asesores han realizado auditorías de código fuente para aplicaciones de numerosos cliente, así como su propio software. Su experiencia como desarrolladores de software en proyectos de software empresarial les hace conocedores del proceso de desarrollo de software, así como de las causas y motivos de los errores de seguridad. Las recomendaciones que ofrecen aportan soluciones que encajan tanto con la sección de código en la que se ha detectado el problema como con la base de código más amplia en la que se encuentra la sección de código.

Y lo que quizás sea más importante aún: al conocer las presiones típicas del desarrollo comercial de software que debe soportar su equipo, nuestros asesores se encuentran en una posición óptima para ofrecer recomendaciones que puedan ponerse realmente en práctica y que no sean de carácter puramente teórico. Nuestros expertos, gracias al uso de técnicas de revisión de código manuales y análisis contextuales junto con herramientas automatizadas avanzadas, son capaces de analizar una mayor cantidad de código con una mayor exhaustividad, eficacia y efectividad que otros.

Además, la revisión de código de Foundstone le ayudará a cumplir el requisito 6.6 de las normas DSS de la PCI. Los asesores expertos en seguridad de software de Foundstone pondrán a disposición de su equipo unos resultados precisos y detallados que podrán utilizar para mejorar de inmediato la seguridad de su aplicación y, de este modo, garantizar el cumplimiento de los requisitos de la PCI.

Methodology

Foundstone lleva a cabo esta evaluación utilizando nuestra metodología probada:

  • En primer lugar, se realiza un análisis de la arquitectura básica y del código. Este análisis se lleva a cabo in situ con las principales partes implicadas del equipo de desarrolladores. Estas sesiones permiten a Foundstone identificar los defectos en la arquitectura, así como obtener el código fuente y tener la posibilidad de examinarlo para familiarizarse con él de cara a las siguientes fases.
  • Dependiendo de las dimensiones y la complejidad de la base de código, Foundstone lleva a cabo revisiones focalizadas y con márgenes de tiempo concretos. El análisis estático se realiza utilizando exploradores de código fuente de venta comercial, de código abierto o desarrollados internamente por Foundstone. Posteriormente, los resultados obtenidos se revisan para eliminar los falsos positivos. Por último, se lleva a cabo un análisis para identificar las principales áreas de riesgo para la aplicación.
  • Foundstone presenta un informe de los resultados obtenidos mediante las herramientas automatizadas junto con un resumen ejecutivo. De este modo, los clientes disponen de la información necesaria para tomar decisiones con respecto a los riesgos asociados a la aplicación evaluada.

Nuestro servicio JumpStart Security Code Review incluye:

  • Un informe técnico basado en los resultados de los análisis automatizados mediante las herramientas anteriormente descritas.
  • Un resumen ejecutivo, en el que se describen los resultados del informe, así como los defectos en la arquitectura, los problemas sistémicos y las principales fuentes de riesgo para la aplicación identificadas por los asesores de Foundstone. Entre las fuentes de riesgo cabe mencionar las personas, los procesos y los problemas tecnológicos.
  • Una presentación ejecutiva con recomendaciones para reducir los riesgos y las medidas ulteriores que cabría adoptar. En este sentido, Foundstone colabora con el cliente para asegurarse de que el nivel de esta presentación se adecúa al público al que va destinada.