Evaluación inicial de seguridad del código fuente

Descubra fuentes de riesgo para las aplicaciones

Próximos pasos:

Visión general

La capacidad de Foundstone para realizar evaluaciones de seguridad de código fuente proviene de nuestros consultores del Servicio de seguridad de software y aplicaciones (SASS), quienes han realizado auditorías de código fuente en numerosas aplicaciones cliente y en sus propios programas de software. Nuestros consultores de SASS han trabajado como profesionales de desarrollo en sistemas comerciales de software empresarial y comprenden tanto el proceso de desarrollo de software como las razones y las maneras en que se introducen los errores de seguridad. Nuestra experiencia, combinada con avanzadas herramientas automatizadas que usan análisis contextual, nos permite analizar una mayor cantidad de código con más rapidez, más precisión y más eficacia que otros servicios de consultoría de seguridad.

Con la Revisión de código inicial, Foundstone lleva a cabo una evaluación dirigida que complementa el análisis automatizado de código con revisiones manuales. Las herramientas automatizadas por sí solas no son eficaces para detectar falencias arquitectónicas y además, generan una gran cantidad de falsos positivos. Los consultores de SASS expertos de Foundstone combaten estas limitaciones y le proporcionan a su equipo resultados precisos y reveladores que puede usar para realizar mejoras inmediatas en la seguridad de su aplicación.

Beneficios clave

El equipo de Servicios de seguridad de software y aplicaciones de Foundstone ofrece experiencia en seguridad de software obtenida a través de su trabajo en organizaciones de desarrollo de software empresarial. Han realizado auditorías de código fuente en numerosas aplicaciones cliente y también en su propio software. Al haber trabajado como profesionales de desarrollo en sistemas comerciales de software empresarial, comprenden tanto el proceso de desarrollo de software como las razones y las maneras en que se introducen los errores de seguridad. Sus recomendaciones ofrecen soluciones que se ajustan a la sección específica del código donde se identificó el problema y a la base de código mayor que debe interactuar con la sección de código.

Quizás lo más importante, al haber enfrentado algunas de las mismas presiones de desarrollo de software comercial que su equipo debe enfrentar, nuestros consultores están en una buena posición para realizar recomendaciones que se puedan implementar en la práctica y que no sólo sean de naturaleza teórica. Nuestros expertos, usando técnicas de revisión manual de códigos y análisis contextuales en combinación con avanzadas herramientas automatizadas, pueden analizar una mayor cantidad de código, de manera más precisa, más eficiente y más eficaz que otros.

Además, la revisión de código de Foundstone le ayudará a cumplir el requisito de PCI DSS 6.6. Los consultores de seguridad de software expertos de Foundstone le brindarán a su equipo resultados precisos y reveladores que puede usar para realizar mejoras inmediatas en la seguridad de su aplicación y cumplir con los requisitos de PCI.

Metodología

Foundstone llevará a cabo esta evaluación usando su metodología probada y comprobada:

  • Análisis arquitectónico básico y recorrido de código. Realizada en el sitio y con los interesados clave del equipo de desarrollo, Foundstone utiliza esta sesión para identificar falencias en la arquitectura y para obtener acceso al código fuente y recorrerlo a fin de adquirir familiaridad para llevar a cabo las siguientes etapas.
  • Según el tamaño y la complejidad de la base de código, Foundstone lleva a cabo revisiones de código dirigidas y de tiempo limitado. El análisis estático se realizará usando escáneres de códigos comerciales, de fuente abierta y desarrollados internamente por Foundstone. Los resultados de estos análisis se auditarán para eliminar falsos positivos. Finalmente, se realizará un análisis para identificar las áreas de riesgo clave para la aplicación.
  • Foundstone presenta el informe desde las herramientas automatizadas y también como resumen ejecutivo que le permite al cliente obtener la información que necesita para tomar decisiones riesgosas con respecto a la aplicación que se está probando.

Nuestra Revisión inicial de seguridad de código incluye:

  • Un informe técnico basado en los resultados de las detecciones automáticas usando las herramientas descritas anteriormente.
  • Un resumen ejecutivo, que describe los resultados del informe y las falencias de la arquitectura, los problemas del sistema y las principales fuentes de riesgo de la aplicación que han identificado los consultores de Foundstone. Las fuentes de riesgo pueden incluir personas, procesos y problemas de tecnología.
  • Una presentación ejecutiva que contiene recomendaciones para mitigar los riesgos y propone pasos a seguir. Foundstone puede trabajar con el cliente para asegurarse de que esta presentación se cree al nivel correcto para el público propuesto.