Descripción
Los servicios de Evaluación de Seguridad en el Software, tienen como objetivo identificar, prevenir y corregir fallos en el desarrollo o la adquisición de proyectos de software.
Dentro del proceso se contemplan las siguientes actividades:
- Modelado de Amenazas: Consiste en entender la aplicación en términos del negocio para identificar las posibles amenazas y los riesgos potenciales
- Análisis estático de código automatizado:
Se evalua el código utilizando herramientas de software comercial o de código abierto según el lenguaje de programación y nas necesidades del negocio. En esta fase se identifican vulnerabilidades o fallos de código conocidos en la industria. - Análisis estático de código manual
La evaluación manual permite reducir falsos positivos, identificar y confirmar las vulnerabilidades o deficiencias en los siguientes dominios:- Autenticación
- Autorización
- Manejo de sesiones
- Registro (Logging)
- Validación de datos
- Manejo de errores
- Cifrado
Entregables
- Informe ejecutivo
- Infografía
- Matriz de Riesgo
- Informe tecnico
- Evidencias
- Recomendaciones
- Plan de Mitigación
- Verificación en cierre de brechas