Evaluación de seguridad del código fuente

Descubra falencias en el diseño y la implementación del código de software

Próximos pasos:

Visión general

La investigación demuestra que corregir problemas de seguridad en las primeras etapas del ciclo de desarrollo es más eficiente y rentable que el modelo tradicional de penetrar y parchar. Los consultores de seguridad de aplicaciones de Foundstone realizan una inspección de código fuente rigurosa y eficiente para identificar problemas de seguridad de software perjudiciales en las primeras etapas del ciclo de desarrollo.

A pesar de que usamos herramientas de inspección comerciales para automatizar el proceso, los expertos de Foundstone también validan manualmente cada problema e inspeccionan el código para superar las limitaciones de las herramientas y técnicas automatizadas que no son efectivas. Nuestros consultores de seguridad de aplicaciones detectan infracciones a las políticas y mejores prácticas, como algoritmos criptográficos inadecuados y construcciones de lenguaje semántico comunes que generan vulnerabilidades.

Tenemos experiencia en C, C++, C#, VB.NET Java, CFML, Perl, Classic ASP y PHP al trabajar en marcos de trabajo de desarrollo, como J2EE y .NET Framework, y en desarrollo en Win32 y plataformas UNIX.

La capacidad de Foundstone para realizar evaluaciones de seguridad de código fuente proviene de nuestros consultores del Servicio de seguridad de software y aplicaciones (SASS), quienes han realizado auditorías de código fuente en numerosas aplicaciones cliente y en sus propios programas de software. Nuestros consultores de SASS han trabajado como profesionales de desarrollo en sistemas comerciales de software empresarial y comprenden tanto el proceso de desarrollo de software como las razones y las maneras en que se introducen los errores de seguridad. Nuestra experiencia, combinada con avanzadas herramientas automatizadas que usan análisis contextual, nos permite analizar una mayor cantidad de código con más rapidez, más precisión y más eficacia que otros servicios de consultoría de seguridad.

Beneficios clave

Nuestros informes detallados proporcionan información específica sobre las vulnerabilidades, incluyendo la línea, ubicaciones de archivos, el problema en sí y las soluciones sugeridas. Presentamos una visión general y estadísticas de las secciones de códigos, como la densidad de la vulnerabilidad (por cada 1.000 líneas de código) en áreas específicas. También incluimos sugerencias de remediación estratégica, como la creación de componentes reutilizables o bibliotecas de seguridad.

Metodología

Al examinar cualquier aplicación de gran tamaño, comenzamos por crear un modelo de amenazas en conjunto con el equipo de desarrollo. Este modelo de amenazas nos ayuda a comprender la funcionalidad de la aplicación, su diseño técnico, las amenazas existentes para la seguridad y contramedidas. Los modelos de amenazas nos ayudan a manejar el tamaño del código base para reducir el examen a un alcance mucho menor, generalmente entre un 40 y 60% del tamaño del código original.

Al contar con el modelo de amenazas y una completa comprensión de la arquitectura de la aplicación, utilizamos herramientas automatizadas de Secure Software para evaluar el código en busca de errores de seguridad en el lenguaje y la semántica. En general, buscamos dos tipos de problemas: falencias en el diseño y errores en la implementación. Las falencias en el diseño incluyen ideas de diseño deficiente que se han implementado, como seleccionar una fuente inadecuada de aleatoriedad para la generación de claves criptográficas. Los errores de implementación generalmente son construcciones sintácticas o de lenguaje semántico que generan vulnerabilidades de seguridad. Software Magazine ha publicado numerosos artículos sobre nuestro trabajo y metodología para realizar evaluaciones de códigos.