+detección +prevención +seguridad +desempeño

ITAC end-to-end-testing®

ITAC end-to-end-testing® ayuda a la adopción de las mejores prácticas en los procesos de aseguramiento de calidad no funcional, evitando costos adicionales derivados del no cumplimiento de requerimientos no funcionales tales como desempeño, escalabilidad o seguridad, los cuales típicamente deben ser asumidos al final de cada producto de software.

Con ITAC end-to-end-testing® las organizaciones podrán definir y verificar el cumplimiento de los estándares de arquitectura que deben cumplir sus aplicaciones desarrolladas internamente o tercerizadas, así como tener a su disposición el servicio y conocimiento requerido para verificar dicha adherencia durante todo el ciclo de vida de desarrollo del proyecto.

Nuestro Partner para la ejecución del servicio: CA VERACODE

Por 5o año consecutivo Gartner posicionó a CA Veracode como líder en el "2018 Magic Quadrant for Application Security Testing".

Gartner escoge a los líderes del cuadrante basado en la integridad de los resultados que se obtienen al realizar un análisis de seguridad en las aplicaciones. Igualmente, Gartner incluye un análisis de las capacidades de CA Veracode, las mejoras en lenguajes, cubrimiento de frameworks, así como Integración SDLC y velocidad.

No dude en solicitar un DEMO* de la revisión de código que nuestra área de Servicios Profesionales de ITAC realiza con la herramienta CA Veracode, para verificar la seguridad de sus aplicaciones.

De click aquí si desea consultar el reporte de Gartner  (2018 Magic Quadrant for Application Security Testing)

* Aplican condiciones para la aplicación del DEMO. Contáctenos para obtener más información al formulario o al correo info@itac.co

Detección y prevención de problemas de seguridad a nivel de aplicaciones

El servicio de validación de desarrollo seguro ITAC end-to-end testing®, permite identificar vulnerabilidades de seguridad a nivel de aplicaciones y generar recomendaciones para solucionarlas. Usando técnicas avanzadas de revisión de análisis estático del código fuente y análisis dinámico de las aplicaciones, combinado con la experiencia de consultores altamente calificados, quienes están certificados en codificación segura, estandarización de los procesos de desarrollo, como ISO, CMMI y soporte, usando herramientas especializadas.
 

Es recomendable que cualquier organización que realice desarrollo de software internamente o a través de proveedores externos, adopte como necesidad estratégica para su negocio, mecanismos que permitan la identificación temprana de vulnerabilidades de seguridad a nivel de aplicaciones e implemente las mejores prácticas para su protección.

Características

Evaluación en el cumplimiento de PCI DSS Sección 6: "Desarrollar y mantener sistemas y aplicaciones seguras" mediante la revisión del código fuente.  Verificación del código fuente, con el fin de verificar si es vulnerable a cualquiera de las 10 vulnerabilidades más críticas para las aplicaciones web, de acuerdo a OWASP (http://www.owasp.org).  Revisión completa, con el fin de verificar que el código fuente no tenga ninguno de los 25 errores de software más peligrosos; categoría creada por SANS (http://www.sans.org/top25-software-errors/).  Identificación de debilidades (acorde a) SAMATE. Anexo A, en el código de alta complejidad. (http://samate.nist.gov). Las vulnerabilidades identificadas abarcan las siguientes categorías, entre otras:

  • Ataques basados en parámetros de entrada.
  • Vulnerabilidades de puerta trasera.
  • Configuración de ambiente insegura.
  • Controles débiles de seguridad.
  • Abrazos mortales y condiciones de competencia.
  • Comportamiento de aplicación no determinístico.
  • Manejo inseguro del error y la auditoría.
  • Exposición de información sensible.  

Validación de las normas de seguridad específicas del negocio:

  • Verificación de patrones de los números de producto, cuentas, etc.
  • Normas específicas de negocio parametrizadas.  

Lenguajes soportados. Java, JSP, C, C++, ASP, .NET, C#, VB.NET, ASP.NET, Managed C++, PL/SQL, entre otros.

Beneficios

Prevención de defectos que tengan impacto en la seguridad de las aplicaciones web y SOA (servicios web).

  • Apoyo en la adherencia a estándares y estándares seguros como OWASP, HIPAA, CWE/SANS.
  • Reducción de costos debido a la adquisición y mantenimiento de herramientas, así como una mayor capacidad de trabajo para los controles de seguridad de las aplicaciones.
  • Ahorro en contratación, formación y administración de recursos humanos especializados en conceptos de seguridad, en los niveles de desarrollo y herramientas especializadas.
  • Obtención de resultados tangibles antes de la implementación a gran escala.

Contáctenos y solicite una cotización de nuestros servicios

Lo invitamos a descargar el Brochure del Servicio ITAC end-to-end Testing

La detección de problemas de desempeño, se puede enmarcar a través de las siguientes técnicas:

Pruebas de carga

Servicio que permite verificar el comportamiento de una aplicación cuando ésta es sometida a una carga transaccional esperada.

Esta prueba sirve para determinar cómo será el rendimiento de la aplicación cuando se use con una carga correspondiente a las expectativas de número de usuarios y número de transacciones en un ambiente de producción.

Las pruebas se realizan con herramientas automatizadas que simulan la comunidad de usuarios esperados realizando acciones simultáneas sobre la aplicación en un ambiente productivo.

Durante la ejecución de una prueba de carga se involucran las áreas de comunicaciones, infraestructura y base de datos, con el fin de analizar todo el contexto en el cual se desenvuelve la aplicación de forma que se puedan tener estadísticas de uso de recursos en cada una de estas áreas.



Profiling

Servicio que permite detectar problemas de desempeño dentro de una aplicación, de forma que se pueda detectar la causa raíz a nivel código fuente que está generando problemas de lentitud.

Consiste en ejecutar un análisis dinámico del código fuente bajo un determinado escenario de procesamiento (carga normal, carga media o carga alta) y de esa forma poder medir el uso de memoria, el uso de determinadas instrucciones, o la frecuencia y duración de llamados a funciones específicas, con el objetivo de ayudar a la optimización de la aplicación.

Como parte del servicio se hace una revisión de parámetros de configuración del servidor de aplicaciones donde está desplegada la aplicación, con el fin de realizar afinamiento sobre el mismo y descartar que la lentitud de aplicación se deba a una mala configuración del servidor de aplicaciones.

Pruebas de Carga y Profiling que permitirán a su empresa producir aplicaciones seguras y resistentes

Pruebas de Carga y Profiling que permitirán a su empresa producir aplicaciones seguras y resistentes