Source Code Security Assessment

Detecte los defectos en el diseño del código del software y los errores de ejecución

Próximos pasos:

Overview

Las investigaciones demuestran que subsanar los problemas de seguridad al principio del ciclo de desarrollo resulta más eficaz y rentable que el clásico modelo de penetración y aplicación de parches. Los asesores expertos en seguridad de aplicaciones de Foundstone realizan inspecciones eficientes y pormenorizadas del código fuente para identificar los problemas de seguridad del software al inicio del ciclo de desarrollo.

Además de utilizar herramientas de análisis comerciales que nos ayudan a automatizar el proceso, los expertos de Foundstone validan manualmente cada problema e inspeccionan el código para superar las limitaciones de las herramientas y técnicas automatizadas que no logran su acometido. Nuestros asesores expertos en seguridad de las aplicaciones detectan las infracciones de directivas y mejores prácticas, como los algoritmos de cifrado inadecuados o las construcciones semánticas que pueden entrañar vulnerabilidades.

Contamos con experiencia en C, C++, C#, VB.NET Java, CFML, Perl, Classic ASP, y PHP en marcos de desarrollo como J2EE y .NET, así como en el desarrollo en plataformas Win32 y UNIX.

La experiencia de Foundstone en la evaluación de la seguridad del código fuente se basa en la competencia de nuestros asesores expertos en software y aplicaciones de seguridad como servicio (SasS, por sus siglas en inglés), que han realizado auditorías de código fuente para aplicaciones de numerosos clientes, así como su propio software. Nuestros asesores expertos en SasS han trabajado como desarrolladores de software en proyectos de software empresarial y, por lo tanto, conocen el proceso de desarrollo de software, así como las causas y motivos de los fallos de seguridad. Nuestra experiencia, junto con herramientas automatizadas avanzadas basadas en el análisis contextual, nos permite revisar una mayor cantidad de código con mayor rapidez, precisión y eficacia que otros servicios de consultoría de seguridad.

Principales ventajas

Nuestros informes detallados ofrecen información específica sobre vulnerabilidades, como la línea, las ubicaciones de los archivos, el problema en cuestión y las soluciones propuestas. Presentamos un resumen y estadísticas para secciones de código concretas, como la densidad de vulnerabilidades (cada 1.000 líneas de código) en áreas concretas. Asimismo, se proponen soluciones estratégicas, como la creación de componentes reutilizables o las bibliotecas de seguridad.

Methodology

Al examinar cualquier aplicación de dimensiones considerables, empezamos por crear un modelo de amenazas junto con el equipo de desarrollo. Este modelo de amenazas nos ayuda a comprender la utilidad de las aplicaciones, el diseño técnico, las amenazas de seguridad existentes y las medidas correctivas. Los modelos de amenazas nos ayudan a lidiar con las proporciones de la base de código y a reducir los esfuerzos de análisis (por lo general, hasta entre un 40% y un 60% de lo que supondría examinar el código en sus proporciones originales).

Con este modelo de amenazas en mano y con unos sólidos conocimientos de la arquitectura de las aplicaciones, empleamos herramientas automatizadas de seguridad del software para detectar los errores de seguridad asociados al lenguaje y la semántica del código. Por lo general, tratamos de detectar dos tipos de problemas: defectos de diseño y errores de ejecución. Los defectos de diseño consisten en ideas de diseño inadecuadas que se llevan a la práctica, como la elección de una fuente de aleatoriedad inapropiada para la generación de claves cifradas. Los errores de ejecución suelen consistir en construcciones sintácticas o semánticas que entrañan vulnerabilidades de seguridad. Software Magazine ha publicado varios artículos sobre nuestro trabajo y metodología de evaluación de código.