Pruebas de seguridad, ¿Qué es el análisis SAST?_

Hoy en día todas las empresas cuentan con medidas de seguridad “perimetrales” como pueden ser los firewalls, antivirus, etc., a estas medidas tecnológicas se las complementa habitualmente con formación y concientización de los empleados para crear un conjunto de medidas tendientes a garantizar la seguridad de nuestros sistemas.

Si bien no se discuten estas definiciones la pregunta es ¿son suficientes?, ¿en qué parte del esquema de seguridad se considera la seguridad del código de nuestras aplicaciones?

Las pruebas estáticas de seguridad de aplicaciones (SAST) son una de las herramientas que permiten ayudar a las empresas a llevar la seguridad a otro nivel.

¿Cómo trabajan estas pruebas?

Las pruebas analizan el código para detectar vulnerabilidades de seguridad, generalmente en las fases de desarrollo y/o prueba del ciclo de vida del desarrollo de software (SDLC). 

Las herramientas SAST se pueden considerar como pruebas de caja blanca, donde el probador conoce información sobre el sistema o el software que se está probando, incluido un diagrama de arquitectura, acceso al código fuente, etc. 

El análisis consiste en examinar el código fuente (en reposo) para detectar y reportar las debilidades que pueden conducir a vulnerabilidades de seguridad. La herramienta analiza el código fuente detectando vulnerabilidades de Seguridad como son los temidos “SQL Injection”, “Log Injection” o “X-site scripting” y otras vulnerabilidades que están presentes en las aplicaciones con mucha más frecuencia de lo imaginado y deseado, estos agujeros de seguridad son las puertas de entrada por las que los cibercriminales acceden con facilidad a nuestras aplicaciones y a la información contenida en nuestras bases de datos. El análisis incluye la verificación de cumplimiento de estándares de desarrollo y reglas de diseño.