top of page

Análisis Estático de Código (Caja blanca)

Ciberinteligencia

DESCRIPCIÓN:

El servicio de análisis estático de código permite identificar vulnerabilidades directamente en el código, usualmente este tipo de validaciones son ejecutadas en la fase de implementación dentro del Ciclo de Vida de Desarrollo Seguro, y se realiza mediante distintas herramientas automatizadas y validaciones manuales.
Silent4Business ha alineado los procesos y revisiones técnicas a la metodología mundialmente reconocida, OWASP Code Review Guide. El equipo de consultores utiliza la metodología mencionada para ejecutar el servicio de revisión de código estático (SAST).
A continuación, se muestra de manera general la metodología empleada para la revisión de código estático, la cual contempla el reconocimiento, revisión automatizada, detección de falsos positivos, revisión manual y revisión de arquitectura de seguridad.

ENTREGABLES:

Resumen ejecutivo (Presentación ejecutiva): 

  • Alcance del Análisis Resumen de hallazgos por nivel de riesgo

  • Activos más vulnerables 

  • Recomendaciones para su atención a causa raíz 


Matriz de vulnerabilidades

  • CVE relacionado con la vulnerabilidad (cuando aplique) 

  • Clasificación de riesgos 

  • Activo vulnerable 

  • Servicio vulnerable

  • Vulnerabilidad 

  • Descripción de la vulnerabilidad

  • Recomendación para su mitigación

CÓDIGO:

AEC

LÍNEA DE NEGOCIO:

Ciberseguridad

CATEGORÍA:

Ciberinteligencia

RESPONSABLE:

Eduardo Salmerón

METODOLOGÍA:

Metodología OWASP Code Review Guide

ALCANCE:

Análisis de seguridad estático (SAST)

TIEMPO DE EJECUCIÓN:

Volumetría 

  • De 01 a 10,000 líneas - 4 días hábiles

  • De 10,001 a 50,000 líneas - 6 días hábiles

  • De 50,001 a 300,000 líneas - 8 días hábiles

  • De 300,001 a 500,000 líneas - 10 días hábiles

© 2035 Hecho en Silent 4 Business

bottom of page