Guía de revisión de código OWASP 2.0

La segunda edición del Proyecto de Guía de Revisión de Código de OWASP [PDF inglés] de 2017 actualiza la exitosa Guía de revisión de códigos OWASP con las amenazas y contramedidas actuales. Esta versión también incluye nuevo contenido que refleja las experiencias de las comunidades de OWASP de las mejores prácticas de revisión de código seguro.

Esta segunda edición ha sido desarrollada para asesorar a los desarrolladores y la administración de software sobre las mejores prácticas en la revisión de código seguro y cómo se puede usar dentro del Ciclo de Vida del Desarrollo del Sofware Seguro (S-SDLC). La guía comienza con secciones que presentan al lector la revisión segura del código y cómo se puede introducir en el S-SDLC de una empresa. Luego se concentra en temas técnicos específicos y proporciona ejemplos de lo que un revisor debe buscar al revisar el código técnico.

Los contenidos y la estructura del libro han sido cuidadosamente diseñados. Además, todos los capítulos contribuidos han sido editados e integrados juiciosamente en un marco unificador que proporciona uniformidad en la estructura y el estilo.

Este libro está escrito para satisfacer distintas perspectivas:

1. Equipos de administración que desean comprender las razones por las cuales se necesitan revisiones de código y por qué se incluyen en las mejores prácticas en el desarrollo de software empresarial seguro para las organizaciones de hoy. La alta gerencia debe leer detenidamente las secciones uno y dos de este libro. La administración debe considerar los siguientes elementos si la codificación segura formará parte del ciclo de vida de desarrollo de software de la organización:
   
   • ¿La organización proyecta el tiempo asignado para revisiones de código?
   • ¿Tiene la administración la capacidad de rastrear las métricas relevantes de revisión de código y análisis estático para cada proyecto y programador?
   • La gerencia debe decidir cuándo, en el ciclo de vida del proyecto, se realizarán las revisiones de código en el ciclo de vida del proyecto y qué cambios en los proyectos existentes requieren la revisión de las revisiones de código completadas previamente.
2. Los líderes de software que desean brindar comentarios valiosos a sus pares en la revisión de código con amplios artefactos empíricos como qué buscar para ayudar a crear software empresarial seguro para sus organizaciones. Deben considerar:
   
   • Como revisor de código de pares, para usar este libro, primero decidió el tipo de revisión de código que desea realizar. Pasemos unos minutos repasando cada tipo de revisión de código para ayudar a decidir cómo este libro puede serle de ayuda.
   • Revisiones de API / código de diseño. Use este libro para comprender cómo los diseños de arquitectura pueden generar vulnerabilidades de seguridad. Además, si la API es una API de terceros, qué controles de seguridad existen en el código para evitar vulnerabilidades de seguridad.
   • Revisiones del código de mantenibilidad. Estos tipos de revisiones de código están más orientados a las mejores prácticas de codificación internas de la organización.
3. Este libro cubre las métricas del código, lo que puede ayudar al revisor del código a comprender mejor qué código debe analizar para detectar vulnerabilidades de seguridad si una sección del código es demasiado compleja.
   
   • Revisiones de código de integración. Una vez más, este tipo de revisiones de código están más orientadas a las políticas de codificación interna de las organizaciones. ¿El código se está integrando en el proyecto completamente examinado por la administración de TI y aprobado? Muchas vulnerabilidades de seguridad ahora se están implementando mediante el uso de bibliotecas de código abierto que pueden generar dependencias que no son seguras.
   • Revisiones de código de prueba. Diseño ágil y basado en pruebas en el que el programador crea pruebas unitarias para probar que los métodos de código funcionan según lo previsto por el programador. Este código no es una guía para probar software. El revisor del código puede querer prestar atención a los casos de prueba de unidad para asegurarse de que todos los métodos tengan las excepciones apropiadas; el código falla de manera segura. Si es posible, cada control de seguridad en el código tiene los casos de prueba de unidad apropiados.
4. Revisor de código seguro que desea una guía actualizada sobre cómo se integran las revisiones de código seguro en el ciclo de vida de desarrollo de software seguro de la organización. Este libro también funcionará como una guía de referencia para la revisión del código, ya que el código está en proceso de revisión.
5. Este libro proporciona una fuente completa de información que necesita el revisor del código. Debe leerse primero como una historia sobre revisiones de código y segundos como una guía de referencia de escritorio.

Fuente: OWASP | OWASP Code Review Guide v2

Suscríbete a nuestro Boletín