Security Scanner: a static analysis tool

Security Scanner, la herramienta de análisis de código estático que está incluida en el Entorno de Desarrollo Integrado (IDE por sus siglas en inglés) de GeneXus, con el objetivo de mejorar la seguridad de las aplicaciones desarrolladas con nuestra plataforma Low-Code.

El análisis de código estático son las inspecciones que se realizan en el código fuente o en los binarios generados, para detectar errores y vulnerabilidades que puedan poner en peligro una aplicación. Son estáticas porque no ejecutan la aplicación.

Silvia Grampone, ingeniero de software, define las herramientas de análisis estático como una “caja blanca”, ya que permiten que los analistas accedan a todo el código.

En el caso del Security Scanner, este revisa específicamente el código GeneXus, no el código generado en código nativo.

“Esta herramienta busca funciones que ya se saben a priori que pueden introducir vulnerabilidades en las aplicaciones si no son correctamente utilizadas por los desarrolladores. Al igual que cualquier herramienta de análisis estático, requiere un análisis a posteriori para eliminar los falsos positivos”.

Silvia, quien también se desempeña como Analista de seguridad en GeneXus, explica que el Security Scanner se puede ejecutar de dos maneras: directamente en el IDE o por MSBuild, el cual se puede incluir en un pipeline de desarrollo.

Ejecución desde el IDE

“Se recomienda para los desarrolladores, por ejemplo, antes de hacer un commit a GeneXus Server para analizar el código que acaban de desarrollar e ir paso a paso”.

Ejecución por MSBuild

Se recomienda para agregar en un pipeline de desarrollo para hacer un análisis posterior que se puede incluir para ejecutar mediciones o para hacer verificaciones”.

La documentación de las reglas y de la tarea de MSBuild están en el wiki y es muy fácil de utilizar. Para que el desarrollador pueda ejecutar el Security Scanner desde el IDE solo deben seguir la siguiente ruta:

Tools > Security > Security Scanner.

La tarea de MSBuild es fácil de utilizar, simplemente debe copiarse como está en el wiki. Descubre más sobre este tema, en la charla DevSecOps: Redefiniendo las bases de la seguridad con el Análisis Estático del Código, impartida por Silvia Grampone.

Escríbenos para solicitar información de nuestros servicios