Un Análisis Estático Automático de Código Fuente (SAST automático) consigue sólo lo siguiente:
* Detectar las construcciones incorrectas o inseguras que el programa ha sido programado para encontrar.
Algunas cosas que no detecta son:
* Fallos de diseño.
* Puertas traseras con código correcto.
* Escritura de datos confidenciales en trazas.
* Construcciones muy incorrectas como: generar una sentencia SQL concatenando, guardarla siempre en el mismo fichero, leer el fichero y realizar la sentencia leída.
* Inconsistencias, como múltiples funciones para conseguir lo mismo (o algo muy parecido).
* El uso de datos no cifrados o firmados correctamente, o que permitan su fácil actualización.
* Y un largo etcétera.
Resumiendo, un SAST automático limpio es lo mínimo que se puede exigir a un programador, pero de eso a pensar que ese código ya es bueno, hay todo un océano que navegar.
Copyleft Ender. El presente artículo no tiene finalidad informativa, de creación de opinión pública o de entretenimiento. Tiene como finalidad principal, la enseñanza y la divulgación de experiencias, proyectos, pensamientos y conocimientos del autor. Se permite la copia textual, la traducción y la distribución de este artículo entero en cualquier medio, a condición de que este aviso sea conservado. Se permite la cita. El autor no reclamará ninguna cantidad por el ejercicio de las dos autorizaciones anteriores. No autorizo a ninguna Entidad de Derechos de Autor a reclamar cantidad alguna en mi nombre por el ejercicio de los dos derechos anteriores.
No hay comentarios:
Publicar un comentario