- Conocer lo que se está haciendo. De nada sirve mirar código sino se sabe lo que se está buscando. El ejemplo más sencillo que tenemos de este punto es el código de fuentes abiertas. Hay programas que han tenido bugs durante años, hasta que la gente se ha puestoa auditarlos no ha encontrado los bugs.
- Priorizar las partes del código a buscar. Saber que partes de código son más proclives a contener fallos. Delimitar código antiguo que puede haber sido escrito cuando no se conocían tantas técnicas, etc
- Revisar el código, usando herramientas de análisis de código, buscar por patrones comunes de vulnerabilidades e investigar el código que suponga más riesgo (por ejemplo uso de funciones no seguras en C, la parte de código que recibe de red información, ...
Technorati Tags: seguridad
No hay comentarios:
Publicar un comentario