¿Por qué y Cómo Convertirse en un Auditor de Código Fuente?

¿Por qué y cómo convertirse en un auditor de código fuente?

Quick introduction:

El enfoque principal de un auditor de código fuente es buscar cualquier debilidad de seguridad que pueda existir en un código fuente o cualquier error que esté allí. Además, si hay violaciones de las convenciones de programación, esto debe ser descubierto por un auditor del código fuente. De hecho, este trabajo es análogo a ser una aguja que capta todos los códigos que potencialmente pueden revelar información importante sobre el sistema interno o la base de datos de una organización a posibles hackers informáticos. Además, un auditor del código fuente debe ser responsable de buscar cualquier violación de leyes de licencias que rijan un proyecto de código abierto en particular.

Let’s talk about the responsibilities of a source code auditor:

Hacer uso de herramientas de seguridad automatizadas que buscan vulnerabilidades es realmente recomendable. No obstante, estas herramientas pueden ser engañadas o simplemente pasar por alto algunas debilidades existentes en un proyecto de programación. En consecuencia, todavía existe una gran necesidad de una revisión manual del código realizada por un auditor del código fuente. Las responsabilidades del trabajo podrían resumirse a través de los siguientes puntos:

  • Un auditor del código fuente debería ayudar al equipo de desarrollo a preparar el código para el proceso de auditoría.
  • Siempre debe mirar de cerca el código fuente sin saltarse una línea para buscar posibles puntos débiles.
  • También debe asegurarse de que el código fuente satisfaga las nociones básicas de seguridad mediante la revisión de todos los mecanismos de autenticación, autorización, sesión y comunicación.
  • También se espera que se involucre un poco con en el Pentesting para ordenar las debilidades detectadas y clasificarlas en riesgo alto y riesgo bajo, según sea el caso.
  • Después de hacer las investigaciones, un auditor del código fuente debería poder identificar todos los puntos del código donde la información sensible podría filtrarse. Esto ayudará mucho para evitar que se produzca un acceso no autorizado.
  • Debe estar muy al tanto de las legalizaciones de las licencias comerciales y de código abierto, como la ley de propiedad intelectual, por ejemplo.
  • Cualquier biblioteca de terceros debe ser revisada para detectar fugas de seguridad por un auditor de código fuente, ya sea que dichas bibliotecas sean de código abierto o comerciales.
  • Debe presentar un documento completo que contenga todos los resultados de las investigaciones realizadas, tanto al equipo de desarrollo como al equipo legal.
  • El rol del auditor del código fuente no se limita a sólo presentar cualquier debilidad del código descubierto, fugas de seguridad o violaciones de la ley. También es responsable de proporcionar una lista de acciones que deben ser adoptadas por los equipos legales y de desarrollo para así resolver todos los problemas encontrados.
  • Un auditor del código fuente también debe ser capaz de educar a los equipos de desarrollo y realizar capacitaciones para que puedan lograr señalar algunos conceptos de seguridad que deben tener en cuenta al desarrollar cualquier pieza de código en el futuro.

También vale la pena señalar que la mayoría de las veces, un auditor de código fuente es, de hecho, un consultor independiente contratado a corto plazo para descubrir cualquier fuga de seguridad en un código desarrollado, en lugar de tenerlo en el personal dentro de la organización.

What are the career paths for a source code auditor?

Las trayectorias profesionales al trabajo del auditor del código fuente dependen esencialmente de la persona interesada en el trabajo en primer lugar. Hay muchos intelectuales que trabajan primero en el campo del software o la programación de aplicaciones web y luego comienzan a especializarse la auditoría de código fuente en el camino. Hay algunos otros intelectuales que comienzan a satisfacer su pasión cuando están en la universidad, de modo que comienzan a centrarse en los aspectos de seguridad cuando desarrollan el código durante sus años universitarios y comienzan desde allí el camino de la auditoría.

Un auditor de código fuente puede también tomar parte en diferentes roles en lugar de una simple auditoría. Algunos de los sombreros que un auditor de código fuente puede usar en el camino son:

  • Pentester
  • Asesor de Vulnerabilidad
  • Experto forense
  • Y por supuesto, está cubierta bajo el paraguas de un trabajo de Consultor de Seguridad.

Tell me about the salaries:

Buscar las cifras en el BLS Payscale, no es una tarea fácil averiguar claramente el salario promedio de un auditor de código fuente. La razón por la cual este sea el caso, es debido a la especialización del trabajo, que compensa las estimaciones basadas en los trabajos publicados. Al usar el sitio web SimplyHired, podríamos encontrar que el salario promedio es de alrededor de $ 52,000 para trabajos con el término “auditor del código fuente” incluido. Además, cuando se usa el término clave “auditor principal del código fuente”, se puede indicar un salario promedio de $ 57,000.

What degree should I hold for this job?

Un título en ciencias de la computación, seguridad cibernética o cualquier otro título equivalente es realmente adecuado para satisfacer las necesidades de los empleadores para el trabajo. También vale la pena señalar que la experiencia de la vida real con la programación y la auditoría lo hace realmente atractivo para que los empleadores lo contraten. Esta experiencia es aún más preferible que obtener un título de maestría.

How much experience is needed for the job?

Trabajar como auditor de código fuente se considera un trabajo de seguridad de nivel medio. Esto hace que los años de experiencia requeridos sean alrededor de 2 años a 3 años. Sin embargo, las listas de trabajos para las oportunidades de auditoría de código fuente realmente no son tan abundantes y, de hecho, son raras. Como se mencionó anteriormente, muchas compañías simplemente contratan a un consultor independiente para cumplir las tareas de un auditor de código fuente en lugar de tener uno a bordo todo el tiempo.

What hard skills are required?

Debido a que este trabajo trata directamente con el código fuente para realizar el análisis en el mismo, realmente se debe tener una sólida formación en lenguajes de programación en los que principalmente se confían para proyectos reales. Los lenguajes de programación más importantes son C, C ++, C #, Java, JSP, .NET, Perl, PHP, Ruby, Python, etc.

Algunos otros antecedentes técnicos que se necesitan son:

  • Los estándares y directrices de codificación segura como CERT / CC, MITRE, Sun y NIST.
  • Experiencia en desarrollo de aplicaciones web y desarrollo de software en general.
  • Interés y experiencia en Pentesting y realización de evaluaciones de vulnerabilidad.

What are the desired soft skills for this exciting job?

No hace falta decir que los empleadores desean realmente tener habilidades de comunicación cuando se trata de temas tanto técnicos como no técnicos. Un candidato debe mostrar sus habilidades de gestión también, ya que parte de su trabajo es gestionar los problemas y el desarrollo del código en términos de perspectivas de seguridad. También debe tener habilidades interesantes para resolver problemas y siempre debe tener recursos. Los empleadores, por supuesto, también examinan las normas éticas de un candidato.

Además, un candidato perfecto es el que sigue mirando los pequeños detalles y cuestiona todo lo que ve. La curiosidad es realmente importante para la función de trabajo porque eso es todo lo que es. Un auditor del código fuente debe ser paciente, escrupuloso, tenaz y, además, debe ser realmente una persona analítica.

Conseguir un trabajo como auditor de código fuente realmente requiere las habilidades interpersonales mencionadas y muchas más porque esas habilidades interpersonales son realmente cruciales para un auditor de código fuente. ¡Imagina cómo un auditor de código fuente podría trabajar con el equipo de desarrollo y manejar la vinculación sin habilidades interpersonales!

What certifications should I aid myself with to be the best candidate?

ISACA ofrece un certificado dedicado a la auditoría, que es una asociación global e independiente que se dedica al desarrollo, adopción y uso de conocimientos y prácticas líderes en la industria y aceptados a nivel mundial para los sistemas de información. El certificado se llama CISA, y es para la auditoría de los sistemas de información. Este es el certificado de auditoría más cercano que podríamos conocer por el momento, pero no existe un certificado especializado para la auditoría de código fuente. También es recomendable obtener la certificación Pentesting y algunos otros certificados que se indican en la siguiente lista para hacer el mejor candidato.

  • GIAC Software Security Certifications// Certificaciones de seguridad de software GIAC.
  • CISA: Certified Information Systems Auditor//  Auditor Certificado de Sistemas de Información.
  • CISSP: Certified Information Systems Security Professional// Profesional Certificado en Seguridad de Sistemas de Información.
  • CSSLP: Certified Secure Software Lifecycle Professional// Profesional Certificado en Ciclos de Vida de Software Seguro.
  • CPT: Certified Penetration Tester// Pentester certificado.
  • CEPT: Certified Expert Penetration Tester// Pentester experto certificado.
  • GPEN: GIAC Certified Penetration Tester// Pentester certificado GIAC.
  • OSCP: Offensive Security Certified Professional// Profesional Certificado en Seguridad Ofensiva.