Cuando se desarrolla un app para iOS existen muchos riesgos que deben ser controlados para evitar fallos de seguridad. Para eso, durante los últimos años se ha insistido mucho en las prácticas de desarrollo seguro, teniendo en cuenta los principales bugs que suelen cometer los programadores menos experimentados. Para evitar estos fallos las apps deben pasar por herramientas de auditoría, de análisis dinámico de la app, pero antes de ello deben ser revisadas por una herramienta de análisis de código estático, que revisando el código fuente sea capaz de detectar ciertos defectos en el código.
Estas herramientas, lo ideal es que estén incluidas directamente en el compilador, tal y como hizo hace ya muchos años Microsoft con FXCop dentro de Visual Studio. La idea es que nada más dar a compilar, la herramienta de análisis de código estático busque los bugs directamente en el código fuente y alerte a los usuarios de posibles bugs.
Esto es lo que se propone desde XSecurity Project, un proyecto de OWASP que se integra directamente dentro de XCode y que conocimos vía SecurityByDefault, para dotar al compilador de una solución integrada de análisis de código estático. La presentación de la herramienta se hizo en AppSec 2014, y puedes ver aquí.
Figura 1: eXtend Security on Xcode
Como se puede ver, lo que intenta es ayudar al desarrollador directamente donde el trabaja, en el compilador, sin necesidad de esperar a que pase por las manos de los analistas y auditores de seguridad de apps. Puedes descargar el plugin para instalar en tu compilador desde XSecurity.
No hay comentarios:
Publicar un comentario