El 13 de septiembre es un día muy especial, ya que se celebra el #DíadelProgramador, un momento único en el año que permite reconocer y felicitar a aquellos que transforman el mundo con código.

Así que para ir más allá de abordar el por qué se celebra este día (que ya hemos realizado), es momento de celebrarlo de otra manera, que es la de auditar tu código. Si bien podría parecer una práctica algo extraña, ésta te permitiría redescubrir todo lo que has aprendido y crecido como profesional.

También existe la ventaja de descubrir vulnerabilidades, que siempre están descubriéndose, en el caso del desarrollo de aplicaciones, las diez vulnerabilidades más comunes se han mantenido igual en los últimos cinco años. Esto se puede ver en el informe publicado por OWASP al comparar la gran cantidad de vulnerabilidades reportadas en 2017 con la de 2013. Esto nos hace creer que muchos desarrolladores aún cometen los mismos errores.

Si deseas que tu aplicación sea segura, debe comenzar por comprender las vulnerabilidades que pueden afectarla, o al menos las más comunes. En el sitio de OWASP, no sólo encontrará información detallada sobre cada vulnerabilidad, sino también una gran cantidad de herramientas y proyectos que le permitirán mejorar su desarrollo basado en buenas prácticas.

Existen muchas y variadas herramientas de análisis de código fuente que se pueden usar en las pruebas de seguridad de aplicaciones estáticas (SAST). Las tecnologías SAST están diseñadas para analizar el código fuente con el fin de identificar vulnerabilidades antes del tiempo de compilación.

Las soluciones SAST pueden integrarse directamente en el entorno de desarrollo y utilizar técnicas de análisis de código estático para alertar al desarrollador de todo tipo de errores y vulnerabilidades que puedan existir en el código. Esta retroalimentación inmediata es muy útil, especialmente cuando se compara con el descubrimiento de una vulnerabilidad más adelante en el ciclo de desarrollo.

Estos análisis permiten a los desarrolladores monitorear su código constantemente e identificar problemas temprano. Además, la revisión del código proporciona información detallada que ayuda a una mitigación rápida y una mayor integridad del código.

Si bien estas herramientas son muy útiles para identificar vulnerabilidades conocidas, como inyecciones SQL o desbordamientos de búfer, la verdad es que hay muchos otros tipos de vulnerabilidades que son más difíciles de detectar automáticamente, como errores de configuración, problemas de autenticación o errores en la lógica del software . Además, dado que las herramientas SAST en realidad no ejecutan el código, otro problema importante son los falsos positivos, que pueden generar distracciones o pérdida de tiempo en su revisión. Es importante elegir las herramientas adecuadas, teniendo en cuenta el lenguaje de programación, el entorno de desarrollo, el tipo de código que se analizará y las vulnerabilidades que detecta.

Todo el software debe ser probado antes de ser puesto en producción. En esta etapa, además de verificar que la aplicación tiene el comportamiento deseado y que no hay errores inesperados, también es importante hacer todo lo posible para asegurarse de que sea segura y no tenga vulnerabilidades. Para esto, se pueden usar las herramientas de análisis dinámico de seguridad (DAST, por sus siglas en inglés). Las herramientas DAST, en lugar de examinar el código fuente, se ejecutan fuera de la aplicación y lanzan solicitudes maliciosas para descubrir vulnerabilidades mediante el análisis de las respuestas que reciben.

Dado que la aplicación se prueba en DAST en tiempo de ejecución, no es necesario tener el código fuente para auditarla. Además, en esta etapa se pueden detectar otros tipos de vulnerabilidades que no se han detectado previamente con SAST, como configuraciones incorrectas, protocolos inseguros o problemas lógicos. Sin embargo, a diferencia del análisis estático que se puede usar de inmediato, en este análisis es necesario personalizar las reglas contra estos posibles escenarios (configuraciones incorrectas, protocolos inseguros, etc.) y hacer y adaptar las solicitudes que cubren todas las entradas posibles de acuerdo con la aplicación para ser analizado

Existen numerosas herramientas de análisis dinámico que puede utilizar, aunque desafortunadamente la mayoría de ellas son licencias pagas, dado el alto mantenimiento que requieren. De todos modos, si desea revisar una lista completa, que incluye opciones comerciales y de código abierto, le recomendamos que revise la lista OWASP de escáneres de vulnerabilidades.

Finalmente, siempre aplique buenas prácticas de desarrollo seguro, ya que ninguna herramienta automatizada lo hará por usted. Recuerde mantener siempre actualizadas sus herramientas, tanto el IDE como los complementos, además de otras aplicaciones adicionales que administra, y siempre elimina los módulos y archivos que no se utilizan.