Análisis estático de código fuente de aplicativos en materia de seguridad informática

Barra lateral del artículo

PDF HTML
Publicado: feb 13, 2025
DOI: https://doi.org/10.22201/dgtic.ctud.2025.3.1.93
Palabras clave:
Análisis estático, código fuente, seguridad informática, vulnerabilidades, SAST

Contenido principal del artículo

Angie Aguilar Domínguez
Dirección General de Cómputo y de Tecnologías de Información y Comunicación, Universidad Nacional Autónoma de México
https://orcid.org/0009-0007-7590-0678

Resumen

El análisis estático de código fuente se realizó para detectar vulnerabilidades conocidas que pudieran llegar a ser explotadas, afectando tanto a aplicativos en entornos web como en dispositivos móviles. La revisión de seguridad permitió llevar a cabo el descubrimiento de fallas de seguridad, accionando la implementación de las correcciones necesarias previo a la publicación en entornos productivos. La Dirección General de Cómputo y de Tecnologías de Información y Comunicación implementó una metodología que combinó el uso de herramientas automatizadas específicas para este fin; éstas trabajaron en conjunto con la verificación manual de los hallazgos para detectar y descartar posibles falsos positivos, además de considerar elementos correspondientes a la calidad del código que pudieran llegar a interferir en la seguridad de la información. Los hallazgos detectados y verificados fueron clasificados de acuerdo con el nivel de criticidad, siguiendo la metodología de calificación de riesgos propuesta por el Open Web Application Security Project. Se emitió un reporte técnico con los hallazgos, dirigido al equipo de desarrollo, para su adecuada atención y así solventar mejoras a los aplicativos. Posteriormente, se verificó la adecuada implementación de correcciones. El análisis estático de código fuente permitió detectar y remediar vulnerabilidades conocidas a nivel de código en los aplicativos que fueron analizados, colaborando a mejorar la seguridad de la información que con ellos se maneja.

Descargas

Los datos de descargas todavía no están disponibles.

Detalles del artículo

Cómo citar
Aguilar Domínguez, A. (2025). Análisis estático de código fuente de aplicativos en materia de seguridad informática. Cuadernos Técnicos Universitarios De La DGTIC, 3(1). https://doi.org/10.22201/dgtic.ctud.2025.3.1.93
Número
Vol. 3 Núm. 1 (2025): Cuadernos Técnicos Universitarios de la DGTIC
Sección
Reportes técnicos
Creative Commons License

Esta obra está bajo una licencia internacional Creative Commons Atribución-NoComercial-SinDerivadas 4.0.

Este trabajo tiene la licencia CC BY-NC-ND 4.0

Biografía del autor/a

Angie Aguilar Domínguez, Dirección General de Cómputo y de Tecnologías de Información y Comunicación, Universidad Nacional Autónoma de México

.

Citas

Assal, H., & Chiasson, S. (2018). Security in the Software Development Lifecycle. USENIX Association. https://www.usenix.org/system/files/conference/soups2018/soups2018-assal.pdf

Bermejo Higuera, J. R., et. al (2020). Benchmarking Approach to Compare Web Applications Static Analysis Tools Detecting OWASP Top Ten Security Vulnerabilities. Computers, Materials & Continua, 64(3), 1555–1577. https://doi.org/10.32604/cmc.2020.010885

Candau, J. (2021). Ciberseguridad: Evolución y tendencias. Bie3: Boletín IEEE, 23, 460–494. https://dialnet.unirioja.es/servlet/articulo?codigo=8175398

De Barros Reigada, A. (2021). Generic SAST tool Comparer. Universidade Do Minho. https://repositorium.sdum.uminho.pt/bitstream/1822/84173/1/Alexandra%20de%20Barros%20Reigada.pdf

OWASP Mobile Top 10 | OWASP Foundation. (s.f.). https://owasp.org/www-project-mobile-top-10/

OWASP Risk Rating Methodology | OWASP Foundation. (s.f.). https://owasp.org/www-community/OWASP_Risk_Rating_Methodology

OWASP Top Ten | OWASP Foundation. (s.f.). https://owasp.org/www-project-top-ten/

Static Code Analysis | OWASP Foundation. (s.f.). https://owasp.org/www-community/controls/Static_Code_Analysis