L2.S18 – Testing del codice

Le attività presenti nel servizio “L2.S18 – Testing del codice – statico” sono relative all’identificazione delle vulnerabilità software all’interno del codice (sorgente o binario) delle applicazioni nella fase iniziale del ciclo di vita in modo da poterle eliminare prima della distribuzione ed hanno l’obiettivo di garantire la conformità alle linee guida (ad es. OWASP) ed agli standard di codifica senza eseguire effettivamente il codice sottostante. Il perimetro di applicazione del servizio comprende l’analisi statica del codice sorgente delle seguenti categorie: sviluppo custom interno/esterno, open source, software/librerie di terze parti e dovrà includere almeno i seguenti controlli:

Data Validation: verifica della presenza di vulnerabilità che possono riguardare eventuali dati corrotti in ingresso che possono portare a un comportamento anomalo dell’applicazione;
Control Flow: verifica dei rischi collegati all’assenza di specifiche sequenze di operazioni che, se non eseguite in un certo ordine, potrebbero portare a violazioni sulla memoria o all’uso scorretto di determinati componenti;
Semantico: rilevazione di eventuali problematiche legate all’uso pericoloso di determinate funzioni o API (es. funzioni deprecate);
Configurazioni: verifica dei parametri intrinseci di configurazione dell’applicazione;
Buffer Validation: verifica della presenza di buffer overflow exploitable attraverso la scrittura o lettura di un numero di dati superiore alla reale capacità del buffer stesso.