Asignatura Datos del alumno Fecha

Seguridad en el Apellidos:
Software Nombre:

Caso grupal: Auditoría de código de una aplicación

Objetivos de la actividad

Una amenaza para cualquier sistema es cualquier actor, agente, circunstancia o

evento que tiene el potencial de causarle daño, o de hacerlo a sus datos y recursos.
Con la presente actividad se pretende conseguir los siguientes objetivos:

 Analizar el código fuente de una aplicación para poder determinar el nivel de

riesgo de las vulnerabilidades encontradas.
 Conocer el tipo de defectos de seguridad que se pueden cometer en lenguajes
como C y Java.
 Prepararse para poder analizar el código en base al conocimiento de los defectos
de programación que se pueden cometer.
 Proporcionar información relevante sobre cuáles serían las recomendaciones de
solución más eficaces para mitigar los efectos de la vulnerabilidad encontrada
durante la auditoría del código fuente de una aplicación.

Descripción de la actividad y pautas de elaboración

Esta actividad profundiza en el estudio de la práctica de seguridad del software más

importante que implantar en un Ciclo de Vida de Desarrollo Seguro de un Software
(S-SDLC): revisión estática de código, mediante el uso y manejo de la aplicación de
análisis
© Universidad Internacional de Laestático de
Rioja (UNIR) código de toda una aplicación.

Para ello vais a analizar quince (15) códigos fuente con el objetivo de buscar los
errores de programación relativos a seguridad.

1
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en el Apellidos:
Software Nombre:

Una descripción detallada del ejercicio, el código o códigos por analizar, la

herramienta con su licencia y un tutorial de ayuda para la realización de análisis
estático están disponibles en el siguiente enlace en un archivo comprimido:
http://descargas.unir.net/escueladeingenieria/05
Seguridad_del_Software/LaboratorioISW.rar

Las herramientas de análisis estático de código fuente son imprescindibles para la

realización de este tipo de análisis del código, pero puede presentar falsos positivos
y negativos. Básicamente, la labor del auditor es desechar los falsos y quedarse con
los positivos verdaderos, así como la detección de falsos negativos no detectados
por la herramienta. Tenedlo en cuenta a la hora de realizar el análisis de los códigos.

Deberéis entregar una memoria en la que se explique la auditoría de 15 hallazgos

(de diferente categoría, p. ej.: 1 del tipo XSS, 1 Buffer Overflow, etc.) del código
detectados por la herramienta (remarco solo 15, pues la herramienta detecta más).
Se debe incluir un estudio detallado de los mismos (incluir esquemas, gráficos de
llamadas, flujos del programa, porciones de código explicadas, etc.) que explique la
vulnerabilidad encontrada y se proponga una posible solución.

Así mismo, se valorará la inclusión, en la explicación de cada uno de los 15 errores,

de la vulnerabilidad referenciada por su código CWE (Common Weakness
Enumeration) acorde al mismo.

En la memoria se debe incluir una lista de los verdaderos positivos, falsos positivos y
falsos negativos presentados por la herramienta, así como una conclusión acerca de
© Universidad Internacional de La Rioja (UNIR)
su desempeño.

2
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en el Apellidos:
Software Nombre:

Extensión

En vuestra solución a la actividad solo se deberán incluir las tablas que se piden
rellenar a lo largo del enunciado de la actividad. La extensión máxima de la
actividad será de 20 páginas.

Rúbrica

Puntuación
Auditoría de código de Peso
Descripción máxima
una aplicación %
(puntos)
Resultado del análisis de cada una de
Criterio 1 las 15 vulnerabilidades detectadas por 0,5 x 15 = 7,5 75 %
la herramienta.
Identificación correcta del código CWE
Criterio 2 1,5 15 %
de las vulnerabilidades encontradas.
Criterio 3 Calidad de la memoria. 1 10 %
10 100 %

© Universidad Internacional de La Rioja (UNIR)

3
Actividades