Olá sou novo no mundo do desenvolvimento de software, recentemente encontrei algumas aplicações interessantes online com código no github e tudo mais, uma delas é o Passky, um gerenciador de senhas, entretanto, estão em linguagens que não domino, há alguma ferramenta, método ou algo que possa me auxilar para determinar se uma aplicação é segura?
Obrigado Romulo pela resposta rápida e precisa, já me deu um lugar para começar , valeu!
Não vou saber te apontar ferramentas específicas para essa tarefa, mas acredito que tendo o código fonte, um depurador e um profiller já são mais que o suficiente. A partir dai é uma questão de revisar os pontos chaves do código onde o mesmo lida com credenciais e dados sigilosos. Um depurador e um profiller vão te ajudar a encontrar possíveis efeitos colaterais ocultos do funcionamento do código.
Eu buscaria por coisas como dados sigilosos persistindo em modo texto durante a execução, vazamentos em transferências via rede (aqui talvez um programa para escutar a rede te ajude, como o Wireshark), coisas do tipo. Existe a questão também de que segurança é espectro. Se a ferramenta conseguir funcionar sem a transferência de segredos por rede, é um bônus digamos.
Devem existir suítes para esse tipo de teste, infelizmente desconheço. E claro, dependendo da linguagem, pode ser uma boa procurar por estouros e corrupções de memória que possam abrir brechas para vazamentos de dados sigilosos.
4 curtidas
Este tópico foi fechado automaticamente 3 dias depois da última resposta. Novas respostas não são mais permitidas.