Recomendaciones para documentar la revisión del código de seguridad

Navega tus respuestas
5

¿Cómo debo documentar los resultados de una revisión del código de seguridad?

¿Alguien sabe de recursos para revisores que brinden orientación sobre cómo deben documentar sus hallazgos? ¿Quizás un documento que describe las mejores prácticas o hace recomendaciones sobre la mejor manera de hacerlo? O, ¿alguien aquí tiene alguna recomendación sobre cómo se deben anotar los resultados y los resultados de una revisión del código de seguridad y qué incluir en esa revisión?

    
pregunta D.W. 06.06.2012 - 22:07
fuente

2 respuestas

2

Recomendaría que la siguiente información se incluya en una revisión del código de seguridad:

Descripción general de la vulnerabilidad : debe incluir una descripción general de alto nivel sobre cuál fue el problema que se descubrió. Esto también puede incluir información de fondo sobre el tipo de vulnerabilidad.

Gravedad : determine una escala como Alta, Media y Baja o algo que parezca aplicable al software que está revisando.

Detalles de vulnerabilidad Esto debe incluir detalles específicos relacionados con la vulnerabilidad en relación con el software que está probando. Si tiene acceso al código y puede documentar la función en cuestión, este sería el lugar para señalarlo.

Remediación de la vulnerabilidad Aquí es donde sugiere la solución para corregir la vulnerabilidad.

Técnica de replicación Esto puede o no ser opcional, sin embargo, puede incluir cómo se descubrió la vulnerabilidad o cómo se puede explotar con ejemplos.

Por supuesto, incluiría un resumen de alto nivel del informe completo para el equipo de administración.

    
respondido por el Mark S. 06.06.2012 - 22:30
fuente
1

Coloca el resumen del informe al principio. Debe resumir la seguridad de toda la aplicación en 1-2 oraciones. Proporcionar orientación en función de los factores que se eligió Clasificación de riesgo.

Divida el informe en elementos según el tipo de vulnerabilidad. Si la vulnerabilidad se presenta en 20 lugares, escribir 20 elementos hará que el documento sea más grande y más difícil de leer.

Ordénelos según el riesgo para obtener más atención a las vulnerabilidades más críticas.

Incluir en cada elemento:

Detalles :

  • PoC de explotación si no lleva mucho tiempo (ayudará a comprender la vulnerabilidad)
  • ubicación (es). Si encuentra medidas de protección, escriba cómo pueden omitirse

Impacto :

  • Calificación de riesgo
  • ¿Qué es lo peor que puede pasar?

Recomendación : función, biblioteca o fragmento de código. Tiempo para arreglar (si puedes estimarlo)

También hay requisitos de informes de ASVS . Pero requieren la presencia de resultados de verificación en cada prueba aprobada y, por lo tanto, los informes serán muy grandes en caso de revisión del código. También hay otras quejas .

    
respondido por el Andrei Botalov 07.06.2012 - 01:26
fuente

Lea otras preguntas en las etiquetas

¿Cómo los atacantes recopilan información remota para identificar y explotar los desbordamientos de búfer? ¿Qué está haciendo este punto de acceso a mi tráfico?