Los fallos de seguridad en aplicaciones están al orden del día. Muchas veces estos fallos se ven provocados al no haber tenido en cuenta la ciberseguridad en el desarrollo de software. Una forma de detectar y solucionar fallos en el código, es el uso de herramientas de análisis de código fuente.

Hay diversas herramientas en el mercado siendo la mas famosa Fortify. Pero nosotros nos decantamos por una startup llamada https://semmle.com/ y su producto LGTM.

LTGM

Aparte de tener diseñar una arquitectura segura es necesario revisar el código escrito por los programadores. Cualquier humano es susceptible de generar un bug que afecte a nuestra aplicación.

A través del análisis automático de código podemos detectar bugs y fallos de seguridad que afecten a nuestra aplicación.

LGTM es una plataforma que permite la revisión automática de código y permite generar una base de datos con nuestro código. Gracias a la generación de esta base de datos podremos realizar nuestras propias consultas para la detección de amenazas o respuesta a estas.

Panel de control de LGTM

Además, LGTM permite una integración con sistemas de controles de versiones de cara a revisar cada aportación realizada.

Integración de LGTM con GitHub

Prueba LGTM

LGTM permite usarse de forma gratuita para proyectos Open Source. Puedes probarla desde https://lgtm.com/ .

Esto ha llevado a que una gran cantidad de proyectos Open Source hayan incorporado esta herramienta en su ciclo de desarrollo. Por ejemplo el proyecto AMP de Google la ha incorporado en su desarrollo, https://github.com/ampproject . Si revisais cualquier Pull Request podeis ver como LGTM revisa el código antes de ser aceptado.

Pull Request revisado por LGTM

Incorpora herramientas de desarrollo de código seguro a tu empresa

¿Estas pensando en incluir herramientas centradas en el desarrollo seguro en tu empresa? o ¿quieres aprender como utilizar estas herramientas?

Ponte en contacto con nosotros de cara a formar a tus empleados en desarrollo de código seguro o como incluir LGTM en tu ciclo de desarrollo.

Contacta: [email protected]

Categories: S-SDLCTech