Microsoft ha publicado una nueva versión de su aplicación FxCop. Con esta herramienta es posible realizar análisis de código .NET para comprobar el nivel de cumplimiento en base a las propias guias de Microsoft, en concreto "Microsoft .NET Framework Design Guidelines".
El mercado de la consultoría y auditoría en la seguridad del ciclo de desarrollo está en números máximos, y este es un indicativo de como las organizaciones están madurado en materia de seguridad.
Esta misma semana, Gary McGraw ha publicado un artículo en InformIT, sobre el revenue de algunas de las compañías más importantes en materia del SDLC que poseen un mercado de entre 150 y 180 millones de dolares.
Mención importante a la adquisición de WatchFire por parte de IBM y de SpiDynamics por parte de HP, ambas compañías poseían un producto para análisis en caja negra (en este caso, referido a no disponer del código fuente).
Algunos números (en millones de dolares), Fortify: 29,2, Coverity: 27.2, Klockwork: 26, Watchfire: 24.1, Spi Dynamics: 22.3, Ounce Labs: 9,5 y la suma de Cenciz, Codenomicon y Whitehat: 12.5. Me pregunto donde quedó NTObjetives o Acunetix.
También comenta que las herramientas no se ejecutan solas y que los servicios siempre harán falta, ya sea en modo de formación, de análisis de riesgos o de tests de intrusión.
Basandome en mi propia experiencia, las herramientas de este tipo, tanto la de IBM (Watchfire y su producto Appscan) o HP (SPI Dynamics y WebInspect), detectan aproximadamente un 30% de las vulnerabilidades existentes y aun falta mucha inteligencia artificial para detectar los problemas lógicos de la aplicación que simples cross site scriptings, inyecciones SQL o archivos obsoletos. Si bien es cierto, que sin alguna de estas herramientas es prácticamente imposible realizar una auditoría aceptable.
¿Como sabe una de estas herramientas "automáticas", si acceder a la agenda de otra persona desde un webmail es un fallo de seguridad o una característica, ya que la persona que accede es el secretario de la otra?.
El mercado de la consultoría y auditoría en la seguridad del ciclo de desarrollo está en números máximos, y este es un indicativo de como las organizaciones están madurado en materia de seguridad.
Esta misma semana, Gary McGraw ha publicado un artículo en InformIT, sobre el revenue de algunas de las compañías más importantes en materia del SDLC que poseen un mercado de entre 150 y 180 millones de dolares.
Mención importante a la adquisición de WatchFire por parte de IBM y de SpiDynamics por parte de HP, ambas compañías poseían un producto para análisis en caja negra (en este caso, referido a no disponer del código fuente).
Algunos números (en millones de dolares), Fortify: 29,2, Coverity: 27.2, Klockwork: 26, Watchfire: 24.1, Spi Dynamics: 22.3, Ounce Labs: 9,5 y la suma de Cenciz, Codenomicon y Whitehat: 12.5. Me pregunto donde quedó NTObjetives o Acunetix.
También comenta que las herramientas no se ejecutan solas y que los servicios siempre harán falta, ya sea en modo de formación, de análisis de riesgos o de tests de intrusión.
Basandome en mi propia experiencia, las herramientas de este tipo, tanto la de IBM (Watchfire y su producto Appscan) o HP (SPI Dynamics y WebInspect), detectan aproximadamente un 30% de las vulnerabilidades existentes y aun falta mucha inteligencia artificial para detectar los problemas lógicos de la aplicación que simples cross site scriptings, inyecciones SQL o archivos obsoletos. Si bien es cierto, que sin alguna de estas herramientas es prácticamente imposible realizar una auditoría aceptable.
¿Como sabe una de estas herramientas "automáticas", si acceder a la agenda de otra persona desde un webmail es un fallo de seguridad o una característica, ya que la persona que accede es el secretario de la otra?.
0 comments :
Publicar un comentario