jueves, agosto 31, 2006

Procesos para auditar código

(vía Fernand0) Michael Howard ha publicado esta artículo sobre los pasos básicos a la hora de auditar código:
  • Conocer lo que se está haciendo. De nada sirve mirar código sino se sabe lo que se está buscando. El ejemplo más sencillo que tenemos de este punto es el código de fuentes abiertas. Hay programas que han tenido bugs durante años, hasta que la gente se ha puestoa auditarlos no ha encontrado los bugs.
  • Priorizar las partes del código a buscar. Saber que partes de código son más proclives a contener fallos. Delimitar código antiguo que puede haber sido escrito cuando no se conocían tantas técnicas, etc
  • Revisar el código, usando herramientas de análisis de código, buscar por patrones comunes de vulnerabilidades e investigar el código que suponga más riesgo (por ejemplo uso de funciones no seguras en C, la parte de código que recibe de red información, ...
Aunque no lo he leido, Michael Howard es uno de los autores de un buen libro de seguridad, Writing Secure Code (2º Edition) y puede mirarse también su blog personal

Technorati Tags:

No hay comentarios: