Hola,
Para las pruebas de seguridad móvil, debe realizar un análisis de código fuente estático al principio del ciclo de vida de desarrollo de software (SDLC).
Con la gran cantidad de vulnerabilidades potenciales que podrían estar al acecho en su código móvil, le recomiendo encontrar una solución de prueba de seguridad que le permita no solo encontrar y corregir vulnerabilidades de seguridad potenciales antes de que lleguen a producción, sino que también ayude a enseñar usted (o sus desarrolladores) cómo evitar cometer estos errores en el código en el futuro.
- ¿Cuáles son los principales desafíos que enfrentan los analistas / consultores de seguridad de TI?
- ¿Cómo podría saber si mi destinatario ve o abre mi correo en Gmail?
- En un modelo de confianza, el control de acceso mantiene a los bancos seguros, pero en bitcoin se utiliza la prueba de trabajo (POW) para la seguridad. ¿Cómo es POW mejor que el control de acceso?
- ¿Cómo funciona Google Botguard?
- ¿Qué puede hacer con la certificación Certified Ethical Hacker (CEH) si no tiene experiencia en seguridad informática o ciberseguridad?
Sé cómo la presión para que su aplicación se active en producción puede ser inmensa y, como resultado, las vulnerabilidades encontradas durante las etapas finales de prueba se pueden etiquetar como “no críticas” y omitidas, para que la aplicación se active lo antes posible.
Identificar vulnerabilidades potenciales mientras está codificando y corregirlas a medida que avanza ahorrará tiempo en la fase de prueba y ayudará a que su aplicación llegue al mercado más rápido, con una postura de seguridad más sólida.
Si se trata de una aplicación más pequeña, definitivamente puede consultar las herramientas de código abierto en las que puede ahorrar dinero, pero podría dejarlo con más dolores de cabeza de los que esperaba. Eche un vistazo a este documento para leer sobre las desventajas de las soluciones de código abierto:
Código abierto frente a comercial: debate sobre herramientas de análisis de código estático
Lo que debe hacer cuando se trata de encontrar la solución adecuada para sus pruebas de seguridad es encontrar una herramienta que:
1. Escanea el código fuente antes de compilarlo, lo que le ahorrará tiempo y esfuerzo en lo que respecta a la corrección.
2. Funciona con las herramientas que sus desarrolladores ya están utilizando. IE: una solución que se integra dentro de sus herramientas de desarrollo (IDE, gestión de compilación, repositorios, etc.). Una integración completa acelerará el proceso de QA / prueba dentro de su SDLC.
3. Muestra el nivel de gravedad de las vulnerabilidades identificadas.
4. Define claramente dónde solucionar y cómo mitigar las vulnerabilidades de seguridad que surjan.
5. Analiza el marco móvil específico y el lenguaje que está utilizando. Muchas herramientas de seguridad pueden estar limitadas en su soporte de diferentes idiomas.
Mobile ApplicationSecurity de Checkmarx permite el análisis de código estático de aplicaciones nativas e híbridas y fue diseñado con un enfoque en las necesidades del desarrollador.
También recomiendo leer esta información adicional sobre vulnerabilidades específicas para dispositivos móviles:
7 Pecados mortales del desarrollo seguro de aplicaciones móviles
tanto como…
Cómo sacar más provecho de sus herramientas de prueba de seguridad de aplicaciones móviles
¡Espero que esto ayude!
-Afable