Regresar
-
6 min.

¿Necesito hacer una revisión del código fuente?

Introducción

La página web que estás leyendo está compuesta por código fuente. Toda la información que tu navegador descarga y traduce es creada por estos códigos y puede ser vista por cualquier navegador (desde cualquier dispositivo) sin la necesidad de un software adicional.

Sin embargo, muy seguido, el aspecto de la seguridad se ve comprometido o se deja de lado a la hora de codificar. Las lagunas en el código facilitan el acceso a cualquier virus y permite que atacantes maliciosos ingresen al sistema, comprometan los datos y afecten la disponibilidad o el rendimiento de la aplicación.

Las auditorías de seguridad para aplicaciones pueden ser pruebas de seguridad de aplicación dinámica (DAST) o pruebas estáticas de seguridad de aplicaciones (SAST). Ambas son enfoques complementarios, implementados en diferentes momentos del ciclo de vida del desarrollo de software e identificando diferentes vulnerabilidades. DAST, también conocido como prueba de caja negra, identifica vulnerabilidades mientras se ejecuta una aplicación. SAST se implementa durante la fase de desarrollo o en DevSecOps, lo que facilita que los desarrolladores identifiquen y solucionen problemas mientras codifican. Realizar un análisis de seguridad del código fuente o una revisión del código fuente ayuda a identificar las vulnerabilidades en las primeras etapas del ciclo de vida de las pruebas de software.

¿Qué es la revisión del código fuente en ciberseguridad?

Una revisión de código seguro es un análisis exhaustivo del código fuente de una aplicación, generalmente realizado para encontrar cualquier error relacionado con la seguridad que se haya pasado por alto durante la fase de desarrollo. Estas vulnerabilidades de seguridad pueden haber pasado por alto las pruebas de penetración. Este examen sistemático puede ser un proceso automático o manual que identifica vulnerabilidades y lagunas de seguridad ocultas, y verifica si se han implementado controles de seguridad.

Las revisiones del código fuente no solo involucran la seguridad, sino que también analizan los aspectos del rendimiento, los problemas de nivel funcional, etc. Además, durante la fase de desarrollo, muchas organizaciones también están implementando esto hoy en día para cumplir con los requisitos normativos o de cumplimiento de la seguridad.

¿Cuándo hacer una revisión externa del código fuente?

En Delta Protect, recomendamos revisiones externas del código fuente si:

  • Se opera un negocio muy sensible y se ocupa de áreas críticas.
  • Debe cumplir con algunos requisitos reglamentarios o de cumplimiento, en los que es obligatoria una revisión del código fuente de un tercero.

Las mejores prácticas de seguridad implican adherirse a los estándares de seguridad internamente, tener conjuntos de herramientas de seguridad, realizar revisiones de código entre pares (una persona que realiza una revisión de código en el código fuente de un compañero de trabajo para identificar debilidades o fallas). Esto ayudará a la organización a crear aplicaciones seguras y mejores productos, no solo en términos de funcionalidad sino también en el lado de la seguridad.

Estándares de seguridad seguidos durante la revisión del código

Los estándares de seguridad que se utilizan como parte de SAST están definidos por Open Web Application Security Project u OWASP, el punto de referencia mundialmente reconocido para la seguridad del software. OWASP publica pautas de codificación segura y mejores prácticas que pueden ayudar a evitar cualquier problema de seguridad. La seguridad, en general, está definida por OWASP, pero para cada lenguaje de programación, hay una entidad específica involucrada que define sus propios estándares de seguridad. Las empresas que desarrollan pilas de programación también comparten prácticas de codificación seguras. Microsoft proporciona estándares de codificación para .NET y Google para Android. Para lenguajes de programación como Java, PHP y C, C++, CERT mantiene estos estándares. Apple define estándares de seguridad para Objective-C o Swift.

Revisión de código fuente: metodología

Cómo Delta Protect puede ayudar con SAST 🔐

Como proveedor de seguridad, entendemos el stack de programación por la que opta el cliente. Dependiendo de la etapa de desarrollo o lanzamiento, entregamos SAST y DAST utilizando herramientas automatizadas y experiencia manual.

Los escaneos automatizados se realizan utilizando herramientas comerciales o de código abierto, como Fortify de HP, Micro Focus Fortify, la herramienta de código abierto SonarQube, Veracode (líder del mercado para SAST) y Checkmarx.

Una vez que se completan los escaneos automatizados, una revisión manual ayuda a identificar falsos positivos y también a detectar vulnerabilidades no identificadas por la herramienta. Como las herramientas se construyen en base a patrones, a veces se agregan nuevos cambios al stack de programación. Un revisor manual tendrá acceso a esta documentación. Puede evaluar los cambios de código en el documento actualizado y examinar el código. Por el contrario, una herramienta SAST tarda mucho tiempo en incluir estos nuevos cambios en el sistema porque tiene que determinar algunos patrones; cierta lógica para identificar una vulnerabilidad.

Esta es la propuesta de valor de Delta Protect, que contamos con hackers éticos altamente calificados y certificados que pueden realizar estas evaluaciones utilizando herramientas automatizadas y también revisiones manuales del código basadas en los estándares más recientes, las últimas amenazas y patrones en cualquier lenguaje de programación.

Conclusiones

Bibliografía

¿Qué es Delta Protect?

Ciberseguridad y Cumplimiento Simplificado para Startups y PYMEs en México y LATAM 🔐

Conoce más

Sigue aprendiendo