En el proceso de desarrollo de Athento, el flujo de trabajo de codificación en sí proporciona una revisión de la seguridad del código:
- Revisión automática de código: Utilizamos herramientas como Codacy para el análisis del código. Cada semana, dedicamos un tiempo mínimo a la corrección de los defectos de calidad que Codacy nos reporta. En el siguiente enlace, puedes ver el panel de Codacy https://app.codacy.com/project/Athento/athentose/dashboard?bid=6087231&token=RKFhAxbrX1f4WYJ
- Revisión de pull-request: Las modificaciones del código son revisadas por varios ingenieros diferentes al ingeniero que ha escrito el código.
- Librerías de código abierto: Utilizamos muchas librerías y productos de código abierto. La ventaja del código abierto es que la comunidad lo revisa y detecta vulnerabilidades de forma proactiva.
- Ciclo de releases: el producto se mantiene por periodos prolongados en versiones Fast Track para que podamos realizar pruebas suficientes.
- Buenas prácticas: nuestros ingenieros siguen prácticas recogidas en estándares internacionales. Por ejemplo, Athento no hardcodea claves, llaves de acceso ni información sensible en el código fuente.
- Protección ante ataques de desbordamiento de buffer (Buffer Overflow): Athento utiliza principalmente tecnologías y lenguajes de alto nivel como Python (Django), que por diseño mitigan el riesgo de desbordamiento de buffer, ya que gestionan la memoria de forma automática. Además, las revisiones automáticas y manuales del código, junto con el uso de librerías revisadas por la comunidad, contribuyen a reducir la posibilidad de introducir vulnerabilidades de este tipo.
- Eliminación de funcionalidades en desuso u ocultas: El ciclo de releases de Athento incluye periodos prolongados en versiones Fast Track para realizar pruebas exhaustivas antes de liberar nuevas versiones. Las revisiones de código y el análisis automático permiten identificar y eliminar funcionalidades en desuso u ocultas que puedan ser explotadas. Además, el uso de herramientas de análisis de calidad y seguridad ayuda a mantener el código limpio y libre de componentes innecesarios o riesgosos .
Uso de librerías externas
En los servidores donde se instala Athento SE no está permitido instalar librerías diferentes a las incluidas en el fichero requirements.txt o en el proceso estándar de instalación.
Si el cliente desea usar otras librerías, éstas deben cumplir:
- Ser compatibles en todos los aspectos con el sistema operativo, versión del stack y licencias.
- Si fuesen de fuentes abiertas, que su proceso de instalación sea mediante repositorios oficiales, que lleven al menos 1 año desde su primera versión y que su comunidad sea suficientemente amplia.
No está permitido instalar software fuera del stack tecnológico estándar, es decir, no está permitido el uso de otro servidor de aplicaciones, compartición del servidor con otras aplicaciones distintas a Athento, etc.
Comentarios
0 comentarios
Inicie sesión para dejar un comentario.