Supongamos que soy responsable de una aplicación en mi empresa y decido contratar expertos en seguridad para realizar una auditoría de seguridad. Supongamos además que mi empresa es propietaria del código fuente de la aplicación y se me permite entregarlo a los expertos contratados.
¿Existen buenas razones para preferir una prueba de penetración de Blackbox en lugar de una revisión del código fuente de seguridad? En mi opinión, una auditoría de código fuente identifica vulnerabilidades críticas mucho más rápido y más eficiente que una prueba de penetración de Blackbox. ¿Por qué debería dejar que un experto en seguridad trabaje en mi aplicación en la oscuridad, cuando puedo proporcionarle información interna como la configuración del sistema y el código fuente para ayudarlo a dirigir mejor sus esfuerzos?
Para evitar confusiones: cuando hablo de una revisión del código fuente de seguridad, asumo que permitiré que los expertos en seguridad también realicen pruebas en la aplicación, para validar sus hallazgos y probar diferentes ataques. El objetivo de la auditoría es identificar las debilidades y mejorar la seguridad de la aplicación posteriormente.