¿Cómo organiza una revisión de código / informe de análisis estático?

5

Recientemente me involucré en una revisión del código de seguridad.

Encontré muchas cadenas de formato, desbordamiento de búfer y llamada peligrosa a la función libc.

Ahora mismo tengo que escribir un informe con todas las cosas fundadas de una manera clara y útil.

Quiero conocer su experiencia en la forma en que organiza este tipo de informe.

    
pregunta boos 28.09.2011 - 09:51
fuente

2 respuestas

4

Necesito advertirlo: hay un millón de maneras diferentes de hacerlo, y la mayoría de las organizaciones tienen las suyas. La mayor parte de mi experiencia en firmas de servicios profesionales globales apunta a entregar este tipo de informes a los directores de seguridad de TI, CISO y juntas ejecutivas, por lo que su millaje puede variar. Un breve resumen:

Primero: piensa en tu audiencia

Si realiza entregas a los desarrolladores de TI y los equipos de soporte, todo lo que van a querer es una lista de problemas priorizada, los pasos a seguir y un enlace a la descripción del proveedor (por ejemplo, la página de MS KB)

Si realizan entregas a los jefes de departamento, querrán una lista de prioridades con una estimación del riesgo y la probabilidad de explotación, tiempo para solucionar cada una de ellas y posiblemente los propietarios (aunque eso no sea su responsabilidad)

Hay otras audiencias, pero esas dos son probablemente las más comunes. Por lo tanto, a menudo es útil entregar un informe que sea adecuado para ambos.

Lo que normalmente preparo es un resumen ejecutivo en el que se explica por qué se realizó el trabajo (por ejemplo, para una auditoría), las implicaciones de alto nivel de los resultados (por lo general los indicadores de rojo / ámbar / verde para la junta) y una estimación del tiempo para corregir. Esto ayuda a la alta gerencia a priorizar el presupuesto y los recursos. La redacción aquí debe ser adecuada para llevarla al tablero si es necesario, ¡así que no hay detalles técnicos!

Además, incluiré un apéndice técnico que contiene la información que realmente necesitará el equipo de remediación para realizar las correcciones pertinentes. Esto puede ser tan simple como una hoja de cálculo de Excel.

    
respondido por el Rory Alsop 28.09.2011 - 12:29
fuente
1

¿Cuál es el objetivo del informe?

Algunas organizaciones ejecutan dichos informes porque la gente les dice que lo hagan, no tienen idea de qué hacer con ellos y los desechan de inmediato.

Algunas organizaciones utilizan incorrectamente dichos informes para juzgar la idoneidad del código. Eso está mal, porque la mayoría de los problemas reportados son "falsos positivos", simples advertencias de peligros, pero no de errores prácticamente explotables.

Algunas organizaciones, las inteligentes, incluyen esto en su proceso de desarrollo. Ejecutan dichos informes de forma regular y rastrean con el tiempo las reducciones de las advertencias a medida que ingresan el código y solucionan los problemas.

Una vez que hayas descubierto el objetivo, ponlo como elemento superior y organiza las cosas para apoyarlo.

    
respondido por el Robert David Graham 28.09.2011 - 23:44
fuente

Lea otras preguntas en las etiquetas