El código fuente puede ser propio o abierto, y los acuerdos de licencia a menudo reflejan esta distinción. Para localizar las vulnerabilidades de la ciberseguridad o las prácticas de codificación inseguras y los defectos de programación, las empresas que desean mitigar los riesgos de seguridad y respaldar las funciones comerciales críticas deben, por lo tanto, prestar más atención a este tema importante.
Como una de las metodologías de prueba de caja blanca, la revisión del código fuente se utiliza para identificar las vulnerabilidades de las áreas en las que las técnicas de prueba de caja negra o gris son difíciles de identificar o fallan, como prácticas de codificación inseguras, problemas de criptografía, excepciones impropias, y errores inseguros o posibles problemas de lógica. Simplemente, la revisión del código fuente se centra en los detalles de implementación del código y los principios de implementación dentro del programa. Este enfoque es adecuado para revisar el código de manera integral, sobre todo en lo que respecta a los defectos y anomalías en escenarios anormales. Además, combinado con las pruebas de penetración, puede cubrir eficazmente la mayoría de las vulnerabilidades de la aplicación, un aspecto especialmente relevante cuando se trata de tecnologías de tendencia como es el caso del 5G.
En una red 5G, los componentes son equipos de hardware y recursos de software, controlados por código fuente escrito por los desarrolladores para respaldar la transmisión de datos y la comunicación de red. Las redes definidas por software (SDN), la virtualización de funciones de red (NFV), la división de redes y algunas otras innovaciones del 5G son el resultado del código fuente creado. En este contexto, la revisión del código fuente es una de las mejores prácticas de la industria para garantizar la seguridad cibernética del software y es ampliamente adoptada y practicada por muchos proveedores de software. Basado en la Especificación CERT y la Enumeración de Debilidades Comunes (CWE), ZTE desarrolló una serie de Especificaciones de Codificación Segura como su propia práctica común de revisión de código fuente, que es aún más estricta y rigurosa. Además, se utiliza como medida obligatoria para detectar y mitigar los riesgos.
Cómo se realiza la revisión del código fuente.
En pocas palabras, la revisión del código fuente es un proceso que se ejecuta combinando comprobaciones manuales y herramientas automáticas. Durante el proceso de desarrollo, realizado por equipos de primera línea, la revisión del código, la aceptación y la prueba del sistema son esenciales para evitar riesgos. Las herramientas de revisión automática de código estático ofrecen una forma eficiente de analizar el código fuente. Tejemos herramientas de análisis de código estático en nuestro ciclo de vida de desarrollo para ayudar a los desarrolladores a identificar defectos o vulnerabilidades. Con la ayuda de un recorrido manual del código, que también es un paso obligatorio antes de finalizar el código fuente, podemos identificar la mayoría de los falsos positivos y los falsos negativos.
Durante la revisión manual del código no es fácil detectar errores simplemente revisando el código, sino que también es necesario ejecutarlo y analizarlo más cuidadosamente. Y La actividad de revisión del código de ZTE consta de varios análisis. El proceso comienza verificando si el diseño general refleja lo establecido por el proyecto, y examina si esa parte de código funciona exactamente como fue diseñada por los desarrolladores, si está garantizada su consistencia y si se han respetado los principios de seguridad por diseño y por defecto.
Una revisión independiente del código fuente llevada a cabo por una segunda línea de defensa es una medida de seguridad adicional, que incluye comprobaciones manuales “línea por línea” y el uso de herramientas automáticas para revisar más a fondo la calidad del código. El departamento de Seguridad de ZTE y su Laboratorio de Ciberseguridad componen esa segunda línea de defensa.
Los desarrolladores son quienes analizan si se respetan todas las características esperadas en caso de que se produzcan errores inesperados durante la ejecución. Además, son quienes realizan pruebas e insertan todos los valores posibles para verificar que no se desencadenen errores que puedan ser explotados por un atacante. En caso de una "interrupción", los desarrolladores comprueban si el código es resistente incluso ante un ataque inesperado.
Superamos con nota los análisis realizados por varios organismos externos.
A principios de este año, y gracias a la exitosa colaboración con los líderes de la industria de la ciberseguridad, el código fuente del Sistema operativo Routers de próxima generación (ROSng) de ZTE, que proporciona un poderoso soporte para la red de transporte 5G en términos de protocolos de red, ha sido revisado por una empresa líder en la industria de la ciberseguridad en el Laboratorio Europeo de Ciberseguridad en Bruselas.
Mientras tanto, la Plataforma de Automatización de Red Elástica de ZTE (ZENAP), que brinda soporte para la implementación de I+D, el despliegue comercial, la provisión y operación y mantenimiento de aplicaciones en SDN/NFV/5G/IoT, ha sido revisada por NETAS en el Laboratorio de Italia en Roma. Los resultados de las pruebas inspiraron al equipo de I+D a pensar en el diseño y el desarrollo de la seguridad. Como proveedor líder con un compromiso en la mejora continua de sus productos, ZTE aprovecha todos los resultados de las evaluaciones, tanto internas como independientes, para mejorar continuamente sus prácticas de desarrollo.
La ciberseguridad como prioridad máxima para la I+D.
La ciberseguridad es siempre la mayor prioridad para la I+D de los productos y la prestación de servicios de ZTE. Por ello, la compañía trabaja para introducir continuamente métodos creativos mediante la combinación de I+D y la cooperación externa con socios de vanguardia para profundizar más en la ciberseguridad. El ecosistema de telecomunicaciones se compone de varios roles, únicos e irremplazables, al igual que los desarrolladores, analistas y demás perfiles que trabajan juntos para lograr un código fuente seguro. Una red segura requiere que todos los actores trabajen juntos para elevar el nivel de la ciberseguridad, por lo que ZTE está en camino de una colaboración y comunicación más amplias para lograr el mejor futuro digital entre todos”.
Autor: Alessandro Bassano, director del centro y máximo responsable de la Ciberseguridad de ZTE en Italia.
