A ideia desse artigo é explicar um pouco sobre as falhas reportadas e como analisa-las no portal da Veracode.
Como Funciona a plataforma de analise?
A plataforma da Veracode utiliza analise estática, dinâmica e de componentes de terceiros para inspecionar e reportar falhas de segurança.
O motor de analise estática, cria um modelo do projeto para analisar de forma automatizada vários pontos de segurança, buscando possíveis falhas no código. O dinâmico atua de forma parecida com um teste de penetração, verificando as vulnerabilidades do sistema simulando o seu uso e ataques que seriam feitos dessa forma. E o de componentes, verifica junto a informações dos fabricantes, se existem alguma vulnerabilidade nos componentes importados. Vamos abordar cada uma delas em um artigo futuro, mas pode saber mais sobre eles na documentação oficial.
No final do processo, é gerado um relatório das falhas, agrupados em níveis de criticidade e com orientações para correção.
Metodologia de falha
Os tipos de falhas são agrupados conforme tipo e ordenados conforme a severidade. Uma nota é gerada para simplificar o resumo da analise, conforme a quantidade e criticidade das falhas encontradas, com base em dois padrões de mercado, CWE e CVSS, e é classificado numa escala de 0 a 100.
CVE e CWE
As CWE, ou Common Weakness Enumeration, são uma lista de vulnerabilidades encontradas em um projeto, enquanto CVE, ou Common Vulnerabilities and Exposures, é um catalogo publico de vulnerabilidades encontradas. Como as analistas estáticas e dinâmicas da Veracode não armazenam o código fonte, são retornadas nos relatórios, apenas CWE. Na analise de componentes, é utilizado como base o CVE.
Acessando o relatório de falhas
Pelo portal da Veracode, é possível verificar um relatório detalhado das falhas, com indicações sobre como resolver os problemas encontrados. Junto a analise, as falhas serão organizadas, classificas e explicadas, para facilitar o processo de analise. Também é possível fazer download ou compartilhar o relatório.
A Veracode disponibiliza em seu site de ajuda, um vídeo explicando como verificar os relatórios:
Também é possível uma analise mais detalhada das falhas em si, conforme podemos ver nesse tutorial:
Com as explicações, pode seguir com a correção das falhas, otimizando o processo com as dicas retornadas no portal.