Herramientas para análisis estático de seguridad

Herramientas para análisis estático de seguridad




Estático = se analiza sin ejecutar el software

• Ventajas:

Consistencia. La herramienta ve lo que ve, sin ideas preconcebidas (que normalmente tienen los desarrolladores o revisores).

• Apuntan a la causa raíz, no a los síntomas. Una prueba de penetración puede establceder que hay un problema, pero no su causa final ni cómo corregirlo.

Detección precoz. La aplicación no tiene que estar integrada ni necesita ejecutarse.

• Su ejecución es barata. Un sistema puede re-analizarse cuando se aplican cambios, o cuando se descubre una nueva vulnerabilidad de aplicación.

 Inconvenientes:

• Falsos positivos. Impacto (coste) crece al tener que evaluar cada positivo.

• Falsos negativos. Suelen ser incapaces de detectar vulnerabilidades de seguridad achacables al diseño, o específicas del contexto propio de la aplicación (se centran en vulnerabilidades genéricas, de codificación).

• ¿Qué es mejor? En seguridad, sin duda, baja tasa de falsos negativos sin una tasa desproporcionada de falsos positivos


Las etapas iniciales son similares a las que sigue un compilador.

 • El análisis semántico permite pasar a una representación interna del software en la que están representadas las nociones básicas para determinar defectos de seguridad: flujo de datos y llamadas, tipos y tamaños de las variables, entradas y recursos alcanzables, y qué entradas están bajo control (taint) del usuario. Este modelo incluye el entorno (librerías, funciones de sistema, etc.) 

• La “inteligencia” está codificada en reglas que un verificador aplica sobre el modelo interno para determinar posibles defectos.


1. Establecer objetivos

a. Priorizar qué partes a analizar

b. Entender el software (a alto nivel)

c. Comprender riesgos

2. Lanzar herramientas

a. Introducir reglas específicas

b. Compilar el código; lanzar herramienta

3. Revisar resultados

a. Revisión manual a partir de problemas potenciales

b. Si falso positivo: Reconfigurar; Si falso negativo: Añadir regla

c. Registro de problemas (informe formal, gestor de defectos…)

4. Introducir correcciones

a. Revisar (manual/automáticamente) cambios

b. Actualizar “Buenas prácticas”, objetivos alcanzados, y reglas


 ¿Quién ejecuta la herramienta?

• Seguridad del software, desarrolladores, o mejor ambos.

• ¿Cuándo?

• Desde el IDE del programador; en subida de código al

control de versiones; en script de build; al librerar una

versión; en procesos formales de auditoría de código.

• No olvidar que la MAYOR CARGA (90%) de trabajo se

consume al analizar resultados e introducir correcciones.

• ¿Cómo tratar los resultados?

• “Si hay riesgo, se bloquea la liberación de la versión”

• “Una autoridad central filtra y decide”

• Usar aproximación incremental al adoptar técnicas:

• Recordar las tácticas empleadas con los IDS/IPS


Cuestionario

link Herramientas para análisis estático de seguridad

Comentarios

Publicar un comentario

Entradas populares de este blog

Mapa conceptual conjuntos - Mónica Erazo

Imagen
En esta entrada podrás encontrar un mapa conceptual acerca de una parte de la Unidad 2 del curso de Matemáticas Discretas de la tecnología en desarrollo de software en la Institución Universitaria Pascual Bravo. En el mapa conceptual se abordan los conceptos asociados a los conjuntos y a sus características, se comienza por los conceptos básicos pero de mucha importancia como: conjuntos, elementos, pertenencia, conjuntos por extensión y por comprensión, luego los tipos de conjuntos y finalmente las operaciones entre estos; los conjuntos entendidos dentro de este modulo como la colección de objetos distintos. Link  https://www.goconqr.com/es-ES/mindmap/29874318/Conjuntos  Fuentes de la información en el mapa conceptual:  Antonia Huertas Sanchez, María Manzano (2002). Teoría de conjuntos  https://webs.ucm.es/info/pslogica/teoriaconjuntos.pdf Nociones básicas de teoría de  conjuntos.
Leer más

Presentación Induccion

Imagen
Cordial saludo,✋ Mi nombre es Mónica Selena Erazo Polo, tengo 22 años. Actualmente me encuentro estudiando la tecnología en desarrollo de software (virtual), ademas estoy estudiando una licenciatura en matemáticas y una técnica en producción audiovisual. Como hobbie administro dos paginas en Facebook, una sobre la saga Star Wars y otra sobre el mundo del cine. Realmente espero aprender en este programa de desarrollo de software, creo que por fin hare mi sueño realidad de saber programar, un interés que comenzó en 2015 cuando la serie de televisión Mr Robot se estrenó.
Leer más

Manejo estatico de las variables en memoria

Una vez vistos los videos titulados Estructuras estáticas y dinámicas, y Arrays(Arreglos) Vectores (17-25) programación en C# . Net con Visual Studio 2013. a) ¿Cómo se indica en un programa en C# que una linea no es ejecutable sino un comentario? b) ¿Qué utilidad tienen las líneas de comentarios en un programa? c) El compilador chequea que las posiciones del vector en ejecución sean menores que el tamaño declarado del vector, ¿Cuál es la razón para declarar los vectores antes de entrar en ejecución? Solución a)   En  C# una linea que no es ejecutable es un comentario, se coloca de la siguiente manera, al inicio se escribe dos slash //, también si de lo que se trata es un comentario multilínea, se denota /* abcdwiodj * \. b )  La utilidad de los comentarios radica en que hacen que el programa se vuelva mas legible, además  permiten conoces a fondo las funcionalidades, además de comentar la razón  por la que se implementan, y por ultimo sirve cuando un p...
Leer más