No hay resultados de la búsqueda

Su búsqueda no arrojó ningún resultado.

Análisis y prueba de seguridad

Desc. gral.

La prueba de seguridad del código de Oracle incluye tanto actividades funcionales como no funcionales para comprobar la calidad y las funciones de los productos. Aunque estos tipos de pruebas a menudo se enfocan en funciones superpuestas del producto, tienen objetivos ortogonales y son realizadas por distintos equipos. Las pruebas de seguridad funcionales y no funcionales se complementan entre sí para brindar una cobertura integral de la seguridad de los productos de Oracle.

Prueba de seguridad funcional

En general, los equipos de control de calidad del producto regulares ejecutan la prueba de seguridad funcional como parte del ciclo normal de prueba de productos. Durante esta prueba, los ingenieros de control de calidad comprueban el cumplimiento de las funciones de seguridad implementadas con lo acordado previamente en las especificaciones funcionales durante el proceso de revisión de listas de comprobaciones y arquitectónico.

Análisis y prueba de garantía de seguridad

El análisis y la prueba de garantía de seguridad comprueban las características de seguridad de los productos de Oracle frente a distintos tipos de ataques. Existen dos categorías generales de pruebas empleadas para probar los productos de Oracle: el análisis estático y dinámico, que se describen con más detalle en las secciones a continuación. Estas pruebas se integran de manera distinta en el ciclo de vida de desarrollo del producto y suelen encontrar categorías diferentes de problemas, motivo por el cual los equipos de productos de Oracle utilizan ambas.

Análisis estático

El análisis estático de seguridad del código fuente es la línea inicial de defensa utilizada durante el ciclo de desarrollo del producto. Oracle utiliza un analizador de códigos estáticos de Fortify Software, una empresa de HP, así como también una variedad de herramientas desarrolladas internamente, para detectar problemas mientras se escribe el código. Los productos desarrollados en los lenguajes de programación (como C/C++, Java, C#) y plataformas (J2EE, .NET) más modernos se analizan para identificar posibles problemas de seguridad. Este tipo de comprobación funciona muy bien para identificar desbordamientos del búfer y pérdidas de memoria en el código C/C++, problemas relacionados con la gestión de recursos en J2EE y .NET, encontrar una gestión inadecuada de las credenciales, varias inyecciones, configuraciones incorrectas del sistema, etc. Una de las desventajas de este tipo de análisis es un alto nivel de informes con resultados falsos positivos; es decir, muchos de los elementos informados no constituyen un problema real. En general, los ingenieros experimentados de los equipos de productos se encargan de realizar el análisis de estos informes examinados. Ellos están familiarizados con el código del producto, pueden diferenciar los falsos positivos de los problemas reales y reducir el número de falsos positivos.

Análisis dinámico

La actividad de análisis dinámica siempre se ejecuta durante las últimas fases del desarrollo de productos: como mínimo, el producto o el componente deberían poder ejecutarse. Si bien esto puede variar entre las organizaciones de Oracle; en general, el equipo de control de calidad de la seguridad se encarga de esta actividad (o un grupo especializado similar), y varios equipos de productos pueden compartirla. El análisis dinámico está destinado a API e interfaces de productos externamente visibles, y con frecuencia depende de herramientas especializadas para realizar la prueba. Se utilizan tanto herramientas manuales como automáticas para realizar pruebas en Oracle. Las herramientas automáticas emplean una técnica de pruebas de vulnerabilidad ante datos aleatorios o inesperados para probar los protocolos y las interfaces de productos a los que se tiene acceso a través de la red, mientras que las herramientas manuales requieren modificaciones manuales, pero brindan una mayor precisión y exactitud.