Static Code Analysis

ANÁLISIS DE CÓDIGO ESTÁTICO

Revisión de código para encontrar vulnerabilidades y verificar controles

¿Qué es el análisis de código estático? 

El análisis de código estático, o revisión de código, es la inspección automática o manual del código para encontrar vulnerabilidades o errores, y para verificar la implementación de controles de seguridad.

Un requisito que vale la pena cumplir correctamente

La calidad de tu software está en tu código. 

El análisis de código estático, realizado por las mejores herramientas de la industria y mejorado con la inspección manual por parte de expertos, puede ayudar a producir productos de mayor calidad, con menos problemas, que cumplan con tus requisitos de cumplimiento. 

Si bien es posible que no detecte todos los errores, tampoco lo pueden hacer las pruebas dinámicas, como las evaluaciones de vulnerabilidad. Por lo tanto, el análisis de código es un arma fundamental en la batalla por la calidad del software. Esta parte importante de la codificación segura es requerida por casi todos los estándares de seguridad, recomendado por OWASP y debe realizarse con cada nueva versión de tu producto. 

Análisis estático (de código) frente a análisis dinámico

El análisis estático (de código) examina tu código fuente o código binario en busca de vulnerabilidades, sin ejecutar realmente el programa. El análisis dinámico, por otro lado, incluye pruebas de penetración, evaluaciones de vulnerabilidad y otras pruebas similares que requieren que se ejecute el software para observar cómo se comporta realmente el código en tiempo de ejecución.