Explore la automatización de herramientas de seguridad sdl

Completado

Para ayudar a nuestros desarrolladores a implementar los requisitos de seguridad durante el desarrollo de código y después del lanzamiento, Microsoft proporciona un conjunto de herramientas de desarrollo seguras para comprobar automáticamente el código fuente en busca de errores y vulnerabilidades de seguridad. Microsoft define y publica una lista de herramientas aprobadas que nuestros desarrolladores pueden usar, como compiladores y entornos de desarrollo, junto con sus comprobaciones de seguridad integradas. Nuestros desarrolladores usan las versiones más recientes de las herramientas aprobadas para aprovechar las nuevas características de seguridad.

Además de proporcionar herramientas de desarrollo seguras, Microsoft implementa y aplica los requisitos de análisis de código SDL con herramientas de seguridad automatizadas. Muchas de estas herramientas están integradas en la canalización de confirmación y analizan automáticamente el código en busca de errores de seguridad conforme se registran y a medida que se compilan y prueban nuevas compilaciones. Los problemas detectados por nuestras herramientas de seguridad automatizadas deben corregirse antes de que las nuevas compilaciones puedan superar la revisión de seguridad y aprobarse para su lanzamiento.

Nuestras herramientas de seguridad automatizadas se dividen en varias categorías generales para evaluar el código en sus diferentes fases de desarrollo, desde el momento en que se confirma hasta el momento en que se publica para su funcionamiento en entornos de producción. En la tabla siguiente se resumen los tipos de herramientas que usamos en Microsoft para el análisis de código SDL.

Herramienta de seguridad Descripción
Análisis de código estático Analiza el código fuente en busca de posibles errores de seguridad, incluida la presencia de credenciales en el código.
Análisis binario Evalúa las vulnerabilidades a nivel de código binario para confirmar que el código está listo para producción.
Análisis de cifrado Valida que se emplearan los procedimientos recomendados de cifrado en el código fuente y en la ejecución del código.
Validación de configuración Analiza la configuración de los sistemas de producción con respecto a los estándares de seguridad y los procedimientos recomendados.

Análisis de código estático y análisis binario

El análisis del código fuente antes de la compilación proporciona un método muy escalable de revisión del código de seguridad y ayuda a garantizar que se sigan las directivas de codificación segura. Nuestras herramientas de análisis de código estático, examinan el código fuente en busca de vulnerabilidades comunes, errores de seguridad, como funciones no seguras, credenciales y otros secretos incrustados en el código fuente. Los errores detectados por estas herramientas se marcan para que nuestros desarrolladores los corrijan.

La mayoría de nuestras herramientas de análisis de código estático se integran en la canalización de confirmación para identificar vulnerabilidades cada vez que se compila el software y evitar que el código no seguro se inserte en el repositorio. También integramos herramientas de análisis de código estático en el entorno de desarrollo para detectar determinados defectos —como la presencia de funciones no seguras— y reemplazar el código no seguro por alternativas más confiables mientras el desarrollador codifica activamente.

Además del análisis estático del código fuente, usamos herramientas automatizadas para examinar el código compilado en busca de errores de seguridad en el nivel binario, como la configuración del compilador o enlazador y otras características binarias relevantes para la seguridad. Nuestras herramientas de análisis binario se ejecutan en cada compilación para detectar errores de seguridad binarios. Estos se marcan para corregirlos antes de que se pueda publicar una compilación.

Análisis de cifrado

Gracias a un cifrado seguro, Microsoft garantiza que todos los datos, incluida la información confidencial de seguridad y los datos de administración y control, estén protegidos contra una divulgación o modificación no deseadas cuando se transmiten o almacenan. SDL limita a los desarrolladores a módulos de cifrado aprobados que implementan el cifrado de forma confiable y segura. Para aplicar esta directiva, nuestras herramientas examinan y validan las implementaciones de criptografía en el código fuente y durante la ejecución del código. Si existe un uso no seguro de la criptografía, esto se marca para su corrección y se valida durante la revisión de seguridad.

Validación de configuración

En Microsoft, nuestros equipos de operaciones se integran con los equipos de desarrollo que usan el modelo de DevOps. Como parte de DevOps, seguimos validando el funcionamiento seguro de nuestro código incluso tras la publicación de la compilación en entornos de producción. Los equipos de operaciones usan listas de comprobación de implementación segura, análisis de configuración de línea de base, detección de vulnerabilidades y sistemas de detección de intrusiones basados en host para validar que el software se configure y funcione según los procedimientos recomendados de seguridad. Los errores de configuración detectados por los equipos de operaciones se marcan para su corrección, mientras que los errores detectados por el equipo de operaciones se asignan al equipo de desarrollo adecuado para que se corrijan a nivel de código. Al integrar la seguridad operativa en nuestros requisitos de SDL, ayudamos a garantizar la seguridad continua de nuestros productos y servicios incluso después del lanzamiento.

Más información