¿Quién utiliza el fuzz testing?
- Gestión de apps
A medida que las regulaciones y normas de ciberseguridad continúan expandiéndose a nivel mundial, cada vez más organizaciones están ampliando los programas de ciberseguridad y ejecutando pruebas de seguridad automatizadas antes de enviar el software.
Industrias enteras, especialmente las que implican reglamentos avanzados de calidad y seguridad, están estableciendo normas para las pruebas de seguridad que recomiendan el fuzz testing, incluyendo la automoción, la aviación, las finanzas, la sanidad, las telecomunicaciones y la energía.
Profundizando en el sector de la automoción, por ejemplo, una serie de normas de la Organización Internacional de Normalización (ISO) y de otras organizaciones recomiendan ahora el fuzzing:
- ISO/SAE DIS 21434: Road Vehicles - Cybersecurity Engineering
- Guía de seguridad del NIST para la verificación de software (Orden Ejecutiva 14028)
- UNECE WP.29: Foro mundial de las Naciones Unidas para la armonización de las normativas sobre vehículos
- ISO 26262: Road Vehicles - Functional Safety (Vehículos de carretera - Seguridad funcional)
Mejores prácticas
La forma más eficaz de realizar pruebas de seguridad, incluido el fuzzing, es hacerlo de forma continua. Esto significa integrar el fuzzing directamente en su canal de CI/CD. Al hacerlo, se crean ciclos de retroalimentación rápidos para que los desarrolladores puedan corregir las vulnerabilidades de seguridad antes de que se envíe el código.
Integrar las herramientas de fuzzing en sistemas de alojamiento de código como GitHub también es valioso. Esto permite que la comunicación y las alertas sean compartidas por todo el equipo de DevOps tan pronto como se descubra un problema, lo que ayuda a facilitar la corrección de las vulnerabilidades.
¿Qué errores puedo encontrar?
Aunque la práctica sigue siendo relativamente nueva, el fuzzing ya ha descubierto miles de errores en diferentes casos de uso. Los tipos de errores y vulnerabilidades descubiertos incluyen
- Ejecuciones remotas de código
- Inyecciones, que pueden ser activadas por entradas no confiables
- Fugas de memoria: Asignación incorrecta de memoria
- Exposición de datos sensibles: Exposición accidental de datos personales
- Bugs funcionales: Entradas a las que no se responde
- y muchos más errores, como comportamientos indefinidos, excepciones no capturadas y desbordamiento del búfer. Más información.
Descubre la innovación
Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de IT Híbrida incluyen diferentes vías de actuación: la gestión de aplicaciones, la gestión de las operaciones de IT (ITSM), la modernización de aplicaciones y la ciberseguridad inteligente. Puedes obtener más información sobre cómo abortar estos retos e innovar haciendo clic en cada una de las líneas de acción o visitando el sitio web de Micro Focus en este enlace.