Informar de un incidente

Seleccionar página

REVISIÓN DE CÓDIGO

Las pruebas de penetración tradicionales a menudo se centran en abordar a los actores de amenaza con información limitada o sin información previa sobre el sistema objetivo. En algunos casos esto es apropiado, pero para niveles máximos de garantía, una revisión de código a menudo es un enfoque sensato. LRQA Nettitude tiene un equipo de expertos en seguridad de aplicaciones que pueden revisar el código fuente para identificar vulnerabilidades y prácticas peligrosas de codificación que no serían posibles con pruebas dinámicas tradicionales.

 

El equipo de LRQA Nettitude es uno de los más cualificados dentro de la industria de la
ciberseguridad y cuenta con una gran cantidad de experiencia y conocimiento en servicios de seguridad de aplicaciones. Para obtener más información sobre servicios de revisión de código o otros servicios como pruebas de equipo rojo, pruebas de penetración y servicios de seguridad administrados, complete un formulario de contacto y estaremos en contacto.

 

Solicitar una cotización gratuita

CREST - STAR Threat Intelligence
CBEST
CREST Threat Intelligence
CBEST

¿Cuándo es apropiada una revisión de código fuente?

En general, una revisión de código fuente es apropiada siempre que se requieran niveles más altos de seguridad. Con acceso al código fuente de una aplicación, LRQA Nettitude puede identificar vulnerabilidades que de otra manera serían muy difíciles de encontrar. Además de vulnerabilidades distintas, una revisión de código fuente revela típicamente prácticas de codificación pobres que es probable que conduzcan a vulnerabilidades en el futuro.

 

Si alguno de los siguientes puntos es aplicable, es apropiado considerar una revisión de código fuente:

  • Aplicaciones de alto impacto y críticas
  • Software de código abierto
  • Aplicaciones adquiridas o subcontratadas
  • Niveles más altos de seguridad requeridos
  • Se han realizado una o más pruebas de penetración dinámicas previamente

¿Cómo realiza LRQA Nettitude las pruebas de revisión de código?

LRQA Nettitude asegurará que se asignen uno o más consultores con experiencia relevante en programación a la tarea. Cada consultor de seguridad tiene una gran cantidad de experiencia en seguridad de aplicaciones.
Se requiere una comprensión profunda de la aplicación objetivo. El consultor de seguridad líder pasará tiempo con un desarrollador apropiado para obtener una comprensión profunda del software antes de comenzar con el proceso de revisión de código fuente. Esto incluirá conversaciones colaborativas que abarquen elementos relevantes como el diseño, la documentación, etc.
A menos que haya preocupaciones específicas para que LRQA Nettitude se enfoque, es importante lograr tanto amplitud como profundidad de cobertura. Para ello, se utiliza un enfoque híbrido de herramientas dinámicas y revisión manual. También es útil tener acceso a una versión en funcionamiento del sistema objetivo al mismo tiempo que se realiza la revisión de código, con el fin de maximizar el contexto y verificar los hallazgos en tiempo real. Algunos de los lenguajes comunes contra los que realizamos revisiones de código incluyen: PHP, ASP, Visual Basic, Java, C / C++, Objective-C, C#, Perl.

¿Cuál es la salida de una revisión de código?

Todas las revisiones de código resultan en la escritura de un informe de gestión y un informe técnico. El informe de gestión está diseñado para un público no técnico y describe la postura general de seguridad del sistema objetivo en términos de riesgo. El informe técnico está diseñado para ser consumido por los desarrolladores que necesitan comprender las vulnerabilidades en más detalle. Todos los informes de LRQA Nettitude están sujetos a un riguroso proceso de garantía de calidad antes de ser liberados.

El consejo de remediación es granular, relevante y accionable. Cuando se identifican temas comunes, LRQA Nettitude también abordará esos desde un nivel más alto. Después de la entrega del informe, LRQA Nettitude llevará a cabo una debrief (o «descripción») con la organización asociada para asegurar una comprensión completa de los hallazgos. Después de la debrief, los consultores de seguridad de LRQA Nettitude estarán disponibles para responder cualquier pregunta posterior sobre la seguridad de la aplicación objetivo.

Ponte en contacto para hablar con uno de nuestros expertos…