P
Resolver Problemas Consiga ayuda para problemas específicos con sus proyectos, procesos y tecnologías.

Pruebas de seguridad para aplicaciones web: ¿Prueba de penetración o revisión de código?

Conozca los beneficios de hacer ya sea una revisión de código o una prueba de penetración en una aplicación web.

Al probar la seguridad de una aplicación web, ¿cree que es mejor hacer una prueba de penetración, o revisar el código de la aplicación? Solo tengo presupuesto para uno o el otro.

Lo ideal sería, por supuesto, que tuviera el presupuesto para llevar a cabo tanto una revisión del código de la aplicación, como una prueba de penetración, ya que completar ambos proporciona la mejor defensa de varias capas. Sin embargo, emplear personal de tiempo completo con las habilidades necesarias en ambos campos está fuera del presupuesto de la mayoría de las empresas, y el uso de especialistas externos puede ser costoso en proyectos más grandes. Por lo tanto, si mi presupuesto me obliga a hacer una elección entre los dos para el propósito de las pruebas de seguridad de las aplicaciones web, yo optaría por una prueba de penetración.

Esto no es porque no creo que las revisiones de código de aplicaciones valgan la pena. Solucionar problemas a nivel de código puede reducir el número de defectos de diseño y codificación relacionados con la seguridad que quedan hasta la versión de lanzamiento, mejorando así la seguridad general de la aplicación dramáticamente. Además, una revisión del código puede descubrir fallas en la lógica de la aplicación, que es algo contra lo que un firewall de aplicación web no puede proteger. Con acceso al código fuente, los revisores pueden examinar exactamente cómo fluyen los datos a través de la aplicación, y cómo determinados tipos de datos, como números de tarjetas de crédito y otros datos personales, se procesan y se protegen; por ejemplo, cuándo y cómo los datos sensibles se cifran y descifran. La principal desventaja de una revisión de código es que es una manera prolongada y costosa de encontrar fallas de seguridad en todas las aplicaciones web, excepto las más básicas.

Aquellos que revisan el código necesitan tener una amplia experiencia en desarrollo de aplicaciones y pericia en seguridad, pero no pueden ser los mismos que escribieron el código original. Tener un equipo tan dedicado es solo económico para las grandes empresas, que están desarrollando constantemente sus propias aplicaciones. Las herramientas de análisis automatizado de código fuente de las aplicaciones pueden acortar el tiempo para revisar aplicaciones grandes y complejas. Si bien ellas pueden identificar los problemas en los cuales los analistas necesitan concentrarse, no pueden probar la adherencia a la política de seguridad o identificar puertas traseras en una aplicación de la misma forma que una revisión de código manual.

Mi preferencia por una prueba de penetraciónse basa en su cobertura no solo de la aplicación, sino también del entorno en el que opera. Puede poner a prueba la resistencia de la red y la aplicación, así como los controles y procesos en torno a ellos. Una prueba de penetración completa puede incluir controles físicos de seguridad, la resistencia de los empleados a la ingeniería social, las conexiones inalámbricas y cualquier otro método de acceso posible a las aplicaciones. Si bien una prueba de este tipo incurrirá en los costos de un equipo experimentado en penetración, proporciona una evaluación holística del entorno vivo real en el que reside una aplicación, lo cual es algo a lo que una revisión de código no se acerca.

Tanto si opta por una revisión de código o por una prueba de penetración, ellas solo valen la pena si usted corrige las vulnerabilidades encontradas por el proceso. Ambas revisiones solo proporcionan una instantánea de la seguridad de una aplicación en un punto en el tiempo. Cada vez que la aplicación se modifica, se debe completar una revisión del código de los cambios, y cualquier cambio significativo en infraestructura o aplicaciones debe impulsar otra prueba de penetración para asegurar que los controles que se supone están instalados todavía están trabajando con eficacia. A la luz de los hallazgos de una revisión de código o una prueba de penetración, colocar un firewall frente a una aplicación podría ser menos costoso y menos disruptivo que reescribir una aplicación.

Profundice más

¿Qué necesita resolver?

Por favor, añada un título para su pregunta

Obtenga respuestas de un experto de TechTarget en lo que sea que necesite resolver

Usted será capaz de añadir detalles en la siguiente página

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close