Existen varias compañías que comercializan herramientas de análisis y comprobación de seguridad automatizadas.Recuerda las limitaciones de estas herramientas, de modo que puedas emplearlas para aquello en lo que son más útiles.
Como Michael Howard apuntó en la Conferencia AppSec del Owasp de 2006 en Seattle, “¡Las herramientas no hacen al software seguro! Ayudan a reducir el proceso y a imponer la política (de seguridad)”.
Lo más importante a remarcar es que estas herramientas son genéricas – es decir, que no están diseñadas para tu códigoespecífico, sino para aplicaciones en general. Lo que significa que aunque pueden encontrar algunos problemas genéricos,no tienen el conocimiento suficiente sobre tu aplicación como para permitirles detectar la mayoría de los fallos.
Por mi experiencia, las incidencias de seguridad más serias son aquellas que no son genéricas, sino profundamente intrincadas en tu lógica de negocio y diseño a medida de la aplicación. Estas herramientas pueden también ser atractivas, ya que encuentran muchas incidencias potenciales.
Aunque ejecutar estas herramientas no toma mucho tiempo, cada uno de los problemas potenciales toma su tiempo investigar y verificar. Si el objetivo es encontrar y eliminar los fallos más serios tan rápidamente como sea posible, ten en consideración si tu tiempo está mejor empleado usando herramientas automatizadas o con las técnicas descritas en esta guía.
Con todo, estas herramientas son ciertamente parte de un programa de seguridad de aplicaciones bien equilibrado.Utilizadas sabiamente, pueden ofrecer soporte a tus procesos globales para producir código más seguro.
Fragmento Extraido de la Guia de Pruebas OWASP 3.0 es español
Como Michael Howard apuntó en la Conferencia AppSec del Owasp de 2006 en Seattle, “¡Las herramientas no hacen al software seguro! Ayudan a reducir el proceso y a imponer la política (de seguridad)”.
Lo más importante a remarcar es que estas herramientas son genéricas – es decir, que no están diseñadas para tu códigoespecífico, sino para aplicaciones en general. Lo que significa que aunque pueden encontrar algunos problemas genéricos,no tienen el conocimiento suficiente sobre tu aplicación como para permitirles detectar la mayoría de los fallos.
Por mi experiencia, las incidencias de seguridad más serias son aquellas que no son genéricas, sino profundamente intrincadas en tu lógica de negocio y diseño a medida de la aplicación. Estas herramientas pueden también ser atractivas, ya que encuentran muchas incidencias potenciales.
Aunque ejecutar estas herramientas no toma mucho tiempo, cada uno de los problemas potenciales toma su tiempo investigar y verificar. Si el objetivo es encontrar y eliminar los fallos más serios tan rápidamente como sea posible, ten en consideración si tu tiempo está mejor empleado usando herramientas automatizadas o con las técnicas descritas en esta guía.
Con todo, estas herramientas son ciertamente parte de un programa de seguridad de aplicaciones bien equilibrado.Utilizadas sabiamente, pueden ofrecer soporte a tus procesos globales para producir código más seguro.
Fragmento Extraido de la Guia de Pruebas OWASP 3.0 es español
