Pruebas de seguridad de aplicaciones estáticas
En el actual panorama de desarrollo de software en rápida evolución, garantizar la seguridad de las aplicaciones desde su concepción ya no es solo una buena práctica, es un imperativo crítico. Aquí es donde las pruebas de seguridad de aplicaciones estáticas (SAST) desempeñan un papel indispensable.
¿Qué es SAST?
SAST, a menudo referido como análisis estático, es una metodología de prueba de seguridad de software que analiza meticulosamente el código fuente, el bytecode o el código binario de una aplicación para descubrir posibles debilidades de seguridad. A diferencia de los métodos de prueba dinámicos que examinan una aplicación en ejecución, SAST escruta una aplicación desde "adentro hacia afuera", con acceso completo a su estructura y diseño internos, antes de que el código sea compilado o ejecutado. Esto convierte a SAST en una forma de prueba de caja blanca (es decir, podemos "observar dentro de la máquina"), lo que proporciona una visibilidad profunda de la lógica subyacente de una aplicación.
En esencia, SAST funciona analizando el código de una aplicación para generar un árbol de sintaxis abstracta, que representa los componentes estructurales del código, como funciones, variables y bucles. A continuación, realiza análisis sofisticados de flujo de control y flujo de datos. El análisis de flujo de control mapea las rutas de ejecución potenciales a través del código, mientras que el análisis de flujo de datos rastrea cómo se mueve la información entre los diferentes componentes. Este entendimiento integral permite a SAST identificar el manejo inseguro de datos, configuraciones erróneas, fallas lógicas y otros errores de codificación que podrían conducir a vulnerabilidades.
Las herramientas SAST contienen vastas bases de datos de reglas y políticas de seguridad predefinidas, a menudo basadas en estándares de la industria como el OWASP Top 10 y las listas de Common Weakness Enumeration (CWE), las cuales utilizan para señalar patrones asociados con vulnerabilidades conocidas, como la inyección SQL, el cross-site scripting (XSS), los desbordamientos de búfer y las vulnerabilidades de entidad externa XML (XXE), entre otras.
¿Por qué es necesario SAST?
La necesidad de SAST surge de varios desafíos fundamentales en el desarrollo de software moderno:
Relación desarrolladores-personal de seguridad: Los equipos de desarrollo superan ampliamente en número al personal de seguridad en la mayoría de las organizaciones. Revisar manualmente cada línea de código en busca de fallas de seguridad simplemente no es factible, especialmente para aplicaciones grandes. Las herramientas SAST automatizan este proceso, permitiendo el análisis rápido de millones de líneas de código en minutos, algo imposible para los revisores humanos.
Detección temprana y eficiencia de costos: Encontrar y remediar vulnerabilidades temprano en el ciclo de vida del desarrollo de software (SDLC) es significativamente menos costoso que abordarlas más tarde. La capacidad de SAST para operar con código sin compilar significa que se puede integrar al principio del SDLC, lo que permite a los desarrolladores identificar y resolver problemas rápidamente sin interrumpir las compilaciones o trasladar vulnerabilidades a etapas posteriores o, peor aún, a producción.
Aplicación de prácticas de codificación segura: SAST ayuda a aplicar prácticas de codificación segura en los flujos de trabajo de los desarrolladores. Al proporcionar retroalimentación casi que inmediata sobre posibles problemas de seguridad a medida que se escribe o se carga el código, SAST ayuda a los equipos de desarrollo a evitar riesgos comunes y a aprender de sus errores, fomentando una cultura de seguridad desde los cimientos.
Prevención de violaciones de datos y daños a la reputación: Las vulnerabilidades sin revisar, una vez explotadas, pueden conducir a graves consecuencias, incluidas violaciones de datos, pérdidas financieras significativas y daños irreparables a la reputación de la marca de una organización. SAST actúa como un sistema de alerta temprana, ayudando a prevenir tales incidentes costosos antes de que una aplicación se despliegue al público.
En esencia, SAST es una actividad indispensable porque representa una forma proactiva, escalable y rentable de integrar la seguridad en la elaboración y actualización incesante de productos de software.
SAST en el SDLC: desplazando la seguridad a la izquierda
Una piedra angular de la seguridad de las aplicaciones (AppSec) modernas, particularmente dentro del enfoque DevSecOps, es el concepto de "desplazar la seguridad a la izquierda" (shifting left). Esto se refiere a la práctica de llevar las pruebas y consideraciones de seguridad a las fases iniciales del SDLC. SAST es una tecnología ideal para lograr esto.
Al incorporar SAST en los entornos de desarrollo integrados (IDE) o en las cadenas de integración continua (CI) de los desarrolladores, el análisis de seguridad puede ocurrir casi en paralelo con la escritura o carga del código. Esto permite a los desarrolladores recibir retroalimentación veloz sobre posibles problemas de seguridad, para abordarlos cuando todavía están frescos en su mente y la remediación puede ser más sencilla. En lugar de que las vulnerabilidades se descubran solo en fases finales del SDLC, SAST puede garantizar una retroalimentación de seguridad continua.
Los beneficios de este enfoque de "desplazar la seguridad a la izquierda" con SAST son significativos:
Desarrollo acelerado: Al detectar las vulnerabilidades a tiempo, los desarrolladores pueden solucionarlas rápidamente, evitando que se acumulen y se conviertan en problemas complejos y que consumen mucho tiempo. Esto minimiza la necesidad de trabajo repetido y ayuda a mantener una velocidad de desarrollo.
Costos de remediación reducidos: Cuanto más tarde se descubre una vulnerabilidad en el SDLC, más costoso y lento se vuelve solucionarla. La intervención temprana de SAST reduce drásticamente estos costos.
Calidad del código mejorada: Los análisis SAST consistentes animan a los desarrolladores a escribir un código más seguro y robusto desde el principio, lo que lleva a una mayor calidad general de la aplicación.
SDLC seguro: Los escaneos regulares de SAST contribuyen a un SDLC más seguro al garantizar que múltiples consideraciones de seguridad se integren en cada etapa, desde la codificación inicial hasta el lanzamiento final.
Si bien SAST se puede utilizar como un medio de seguridad en varios puntos del SDLC, incluso durante las compilaciones diarias/mensuales o en cada chequeo de ingreso del código, su valor máximo se obtiene cuando se aplica lo más a la izquierda posible.
El alcance de SAST: ¿Qué tipos de problemas encuentra?
SAST es especialista en identificar una amplia gama de problemas de seguridad dentro de la estructura estática de una aplicación. Sobresale en la detección de problemas que provienen de prácticas de codificación inseguras, errores lógicos y malas configuraciones dentro del propio código. Específicamente, las herramientas SAST pueden identificar:
Fallas de inyección: Como inyección SQL, inyección de comandos e inyección del lado del servidor, donde el input no confiable se procesa como parte de un comando o consulta.
Desbordamientos de búfer: Problemas relacionados con la memoria donde un programa intenta escribir datos más allá de los límites de un búfer de longitud fija, lo que podría provocar bloqueos o la ejecución arbitraria de código.
Vulnerabilidades de scripting entre sitios (XSS): Donde se inyectan scripts maliciosos en sitios web de confianza para robar datos de usuario, secuestrar sesiones, desfigurar páginas o redirigir a los usuarios a sitios maliciosos.
Vulnerabilidades de entidad externa XML (XXE): Que pueden permitir la lectura arbitraria de archivos, la denegación de servicio o la falsificación de solicitudes del lado del servidor.
Manejo inseguro de datos: Incluida la validación de inputs incorrecta, donde los datos que provienen de fuentes inseguras no se limpian correctamente antes de su consumo.
Implementaciones criptográficas débiles: Como el uso de algoritmos obsoletos o contraseñas embebidas que pueden permitir a los atacantes descifrar fácilmente datos confidenciales u obtener accesos no autorizados.
Configuraciones erróneas: Fallas dentro de los archivos de configuración de la aplicación (p. ej., XML, YAML) que podrían exponerla a accesos no autorizados, violaciones de datos o denegación de servicio.
Problemas de flujo de control: Problemas con el orden de las operaciones del programa que podrían conducir a secuencias peligrosas y, como resultado, permitir la elusión de los controles de seguridad, el acceso no autorizado o el colapso de la aplicación.
Errores semánticos y fallas estructurales: Inconsistencias con prácticas de programación segura, debilidades en el diseño de clases y declaración o uso incorrecto de variables y funciones.
Cumplimiento de estándares: Las herramientas SAST pueden verificar el código para el cumplimiento de una amplia gama de requisitos de seguridad basados en estándares internacionales de la industria como OWASP, PCI DSS, GDPR y HIPAA.
Al analizar el flujo de datos, el flujo de control y la información semántica dentro del código, SAST proporciona una comprensión profunda de las posibles vulnerabilidades, incluso señalando las líneas exactas de código donde residen cada uno de los problemas.
¿Cuáles son las diferencias entre SAST y DAST?
Si bien SAST es un enfoque poderoso, es crucial comprender su lugar dentro de una estrategia de AppSec más amplia. A menudo, las discusiones sobre SAST conducen a preguntas sobre pruebas de seguridad de aplicaciones dinámicas (DAST) y cómo estas dos metodologías difieren.
Característica | SAST | DAST |
Método de prueba | Pruebas de caja blanca (de adentro hacia afuera) | Pruebas de caja negra (de afuera hacia adentro) |
Análisis | Analiza código fuente, bytecode o binarios sin ejecutar la aplicación. | Analiza una aplicación en ejecución simulando ataques. |
Visibilidad | Visibilidad completa del código fuente de la aplicación y la lógica interna. | Sin visibilidad de las operaciones internas o del código fuente; trata la aplicación como una caja negra. |
Cuándo se aplica | Temprano en el SDLC, tan pronto como se escribe o se carga el código. | Más tarde en el SDLC, una vez que hay una aplicación funcional (p. ej., en un entorno de prueba o incluso en producción). |
Tipos de vulnerabilidades | Vulnerabilidades a nivel de código, fallas lógicas, prácticas de codificación inseguras (p. ej., SQLi, desbordamientos de búfer, XXE). | Vulnerabilidades en tiempo de ejecución, problemas de configuración, fallas de autenticación, problemas del lado del servidor (p. ej., XSS, autenticación rota). |
¿Dependiente del lenguaje de programación? | Sí, la herramienta debe ser compatible con los lenguajes y frameworks específicos utilizados. | No, interactúa con la aplicación externamente, independientemente de su lenguaje subyacente. |
Falsos positivos | Tiende a producir más falsos positivos ya que carece de contexto de tiempo de ejecución. | Tiende a tener menos falsos positivos ya que prueba la ejecución en el mundo real. |
Detalles de remediación | Señala la línea exacta de código, lo que facilita la remediación. | Reporta que existe una vulnerabilidad, pero no la línea exacta de código. |
Velocidad de escaneo | Generalmente más rápido, ya que no requiere una aplicación en ejecución. | Puede tardar más, ya que requiere que la aplicación sea ejecutable e implica la simulación de interacciones. |
¿Necesitas tanto SAST como DAST?
Absolutamente. SAST y DAST son complementarios, no mutuamente excluyentes. En gran medida, detectan diferentes tipos de vulnerabilidades y proporcionan perspectivas distintas. SAST sobresale en la identificación temprana de fallas a nivel de código, lo cual permite brindar una guía de remediación precisa. Sin embargo, no puede detectar errores de configuración en tiempo de ejecución, problemas específicos del entorno o vulnerabilidades que solo se manifiestan cuando la aplicación interactúa activamente con sistemas externos.
DAST llena este vacío al probar la aplicación en vivo más o menos como lo haría un atacante, descubriendo problemas que SAST podría pasar por alto debido a su naturaleza. El empleo tanto de la intervención temprana de SAST como de las pruebas tipo DAST en ambientes de pre-producción y producción garantiza un enfoque mucho más amplio y profundo de la seguridad de las aplicaciones, maximizando la cobertura de vulnerabilidades a lo largo del SDLC.
¿Cuáles son las diferencias entre SAST y SCA?
Otra distinción importante es la que hay entre SAST y el análisis de composición de software (SCA). Si bien ambas técnicas son cruciales para una seguridad integral de las aplicaciones, se centran en diferentes aspectos de la base de código.
SCA se centra principalmente en las dependencias de código de terceros, como librerías de código abierto, frameworks y otros componentes utilizados dentro de una aplicación. Las herramientas SCA escanean estos componentes para identificar vulnerabilidades de seguridad conocidas (a menudo de bases de datos públicas de vulnerabilidades como CVEs), versiones desactualizadas y problemas de cumplimiento de licencias. Dado que las aplicaciones modernas dependen en gran medida de las librerías de código abierto, SCA se ha vuelto cada vez más vital para comprender y gestionar los riesgos asociados con estos componentes externos. Al igual que SAST, SCA a menudo depende del lenguaje de programación porque necesita comprender la estructura de las librerías.
SAST, por su parte, se centra en el código personalizado de la aplicación. Analiza la lógica única y las fallas de implementación introducidas por el equipo de desarrollo. Cuando se usan juntos, SCA y SAST proporcionan una evaluación integral de la postura de seguridad de una aplicación: SCA asegura los componentes de terceros, mientras que SAST cubre el código de autoría propia.
Ventajas y desventajas de SAST
Como cualquier metodología de pruebas para AppSec, SAST tiene sus fortalezas y debilidades. Comprenderlas ayuda a su implementación efectiva.
Ventajas de SAST
Detección temprana ("Shift Left"): Identifica vulnerabilidades en las primeras etapas del desarrollo, a menudo antes de que el código sea compilado, lo que reduce significativamente los costos y esfuerzos de remediación.
Cobertura integral del código: Puede analizar el 100% del código base, asegurando que cada línea de código y cada ruta de ejecución potencial se pruebe en busca de fallas de seguridad.
Velocidad y automatización: Escanea millones de líneas de código en minutos, superando con creces las capacidades de las revisiones manuales de código. Adicionalmente, automatiza chequeos de seguridad consistentes en grandes bases de código.
Señala la causa raíz: Proporciona detalles precisos, incluyendo el nombre del archivo, la ubicación y el número de línea, para cada vulnerabilidad detectada, simplificando la comprensión y la remediación para los desarrolladores.
Refuerza prácticas de codificación segura: Se integra en los flujos de trabajo de los desarrolladores (p. ej., plugins de IDE), lo que proporciona rápida retroalimentación que ayuda a los desarrolladores a aprender de los errores y escribir código más seguro de forma proactiva.
Variedad de lenguajes soportados: Muchas herramientas SAST modernas son compatibles con una amplia gama de lenguajes de programación y frameworks, permitiendo consistencia a través de diversos proyectos.
Soporta el cumplimiento normativo: Ayuda a las organizaciones a cumplir con los requisitos reglamentarios (p. ej., PCI DSS, GDPR) al demostrar la diligencia debida en la identificación y el tratamiento de vulnerabilidades de software.
Desventajas y desafíos de SAST
Falsos positivos: Las herramientas SAST hacen suposiciones basadas en patrones de código y muchas veces señalan piezas de código inofensivas o en buen estado como vulnerabilidades, que se conocen como falsos positivos. Esto a menudo lleva a la pérdida de tiempo en la investigación y reduce la confianza en la herramienta.
Falsos negativos: Inversamente, SAST puede pasar por alto muchas vulnerabilidades reales, clasificadas como falsos negativos, particularmente aquellas que dependen del contexto de ejecución, configuraciones complejas o factores ambientales externos.
Falta de contexto de tiempo de ejecución: SAST analiza el código de forma aislada, lo que significa que no puede determinar si una posible vulnerabilidad es realmente explotable en un entorno en vivo. Está "ciego" a las interacciones en tiempo de ejecución y los problemas relacionados con la red. Por ejemplo, podría señalar un input no saneado en el front-end incluso si está correctamente saneado en el back-end, lo que lleva a un falso positivo si la herramienta SAST no tiene visibilidad en diferentes repositorios.
Dependencia del lenguaje: Si bien muchas herramientas admiten múltiples lenguajes, si una organización utiliza muchos lenguajes de programación diferentes o menos comunes, encontrar una única herramienta SAST que los cubra a todos de manera efectiva puede ser un desafío.
Tiempo de escaneo y frescura de reportes: Aunque generalmente más rápidos que DAST, los escaneos SAST integrales aún pueden llevar una cantidad significativa de tiempo para bases de código muy grandes. Los informes resultantes representan una instantánea del código en ese momento y pueden volverse obsoletos rápidamente a medida que el desarrollo continúa, lo que requiere reescaneos frecuentes.
Requiere ajuste y mantenimiento: SAST no es una solución de "configúralo y olvídalo". Las reglas deben revisarse, refinarse y actualizarse con el tiempo para reducir el "ruido" (falsos positivos), reflejar los cambios en la base del código y tener en cuenta patrones de ataque en evolución. Sin un cuidado continuo, las herramientas pueden tornarse obsoletas o demasiado ruidosas.
Ceguera al contexto (nube/tiempo de ejecución): Sin integración con herramientas de visibilidad en la nube o en tiempo de ejecución, SAST trata todos los hallazgos por igual, independientemente de si un fragmento de código vulnerable se está ejecutando en un servicio interno seguro o en una carga de trabajo expuesta a Internet con acceso a datos sensibles. La priorización basada en el riesgo real se vuelve difícil sin este contexto.
A pesar de estos desafíos, las herramientas SAST modernas están evolucionando continuamente para abordar estos problemas, en particular a través de la integración de IA y machine learning, lo que ayuda a mejorar la precisión y reducir los falsos positivos.
Pasos clave para ejecutar SAST de manera efectiva
Implementar SAST de manera efectiva va más allá de simplemente adquirir una buena herramienta. Implica un enfoque estratégico que involucra activamente a los equipos de desarrollo y seguridad y también incorpora elementos clave como plataformas de gestión de riesgos y modelos de IA generativa.
Selección de herramientas
Elige una herramienta SAST que soporte los lenguajes de programación y marcos subyacentes utilizados por tus equipos de desarrollo. Las características clave a buscar incluyen:
Precisión: Altas tasas de verdaderos positivos (identificación de vulnerabilidades reales) y bajas tasas de falsos positivos (minimizando alertas irrelevantes).
Velocidad: Capacidades de escaneo rápidas para evitar ralentizar los flujos de trabajo de desarrollo.
Integración: Integración óptima con tuberías de CI/CD, sistemas de control de versiones, IDEs y otras herramientas de desarrollo.
Amigable para el desarrollador: Escaneos continuos para proporcionar reportes casi en tiempo real e integración con una plataforma fácil de usar para la priorización y remediación de vulnerabilidades.
Remediación automatizada: Compatibilidad con un modelo de IA generativa capaz de generar sugerencias de código seguras y precisas o incluso aplicar automáticamente correcciones.
Configuración
Maneja la licencias, establece control de accesos y proporciona los recursos necesarios (servidores, bases de datos) para la herramienta. Ajusta la herramienta a las necesidades de tu organización, configurándola para reducir falsos positivos o encontrar vulnerabilidades específicas actualizando las reglas existentes o redactando nuevas.
Integración en flujos de trabajo
Incorpora la herramienta SAST en los flujos de trabajo de los desarrolladores. Esto incluye extensiones de IDE para retroalimentación rápida a medida que se escribe código y herramientas de línea de comandos conectadas a sistemas de control de versiones para ejecutar escaneos automáticamente durante compromisos, solicitudes de extracción o construcciones. El objetivo es detectar problemas lo antes posible.
Escaneo de aplicaciones
Prioriza aplicaciones de alto riesgo para escaneos iniciales, eventualmente incorporando todas las aplicaciones. Sincroniza los escaneos de aplicaciones con los ciclos de lanzamiento, construcciones diarias/mensuales o ingresos de código para asegurar una evaluación continua de seguridad.
Prioritización de vulnerabilidades
Después de los escaneos, triage los resultados para eliminar falsos positivos y priorizar las vulnerabilidades identificadas según su gravedad, exploitabilidad y potencial impacto. Esto asegura que los esfuerzos de remediación se concentren en los riesgos más críticos.
Remediación y verificación
Proporciona detalles de problemas a los equipos de desarrollo para una remediación oportuna. Implementa soluciones parcheando el código o aplicando otras medidas y vuelve a escanear para verificar que las remediaciones hayan funcionado y no hayan introducido nuevas vulnerabilidades.
Mejora continua y gobernanza
Entrenamiento en codificación segura: Capacita a los desarrolladores en prácticas de codificación segura y en cómo utilizar eficazmente las herramientas SAST.
Actualizaciones regulares de herramientas: Mantén las herramientas SAST actualizadas para identificar las últimas vulnerabilidades y adherirse a los estándares de codificación actuales.
Revisión de procesos: Revisa y mejora regularmente los procesos, herramientas y configuraciones de SAST para adaptarse a amenazas y necesidades organizativas en evolución.
Colaboración: Fomenta la comunicación y colaboración entre los equipos de desarrollo, seguridad y operaciones para establecer una comprensión compartida de los objetivos de seguridad (cultura DevSecOps).
Fluid Attacks: un enfoque integral para SAST y más allá
Entre las soluciones líderes del mercado, Fluid Attacks ofrece una poderosa herramienta SAST que se integra perfectamente en los flujos de trabajo modernos de desarrollo. Nuestra herramienta de análisis estático, que se optimiza continuamente, está diseñada para identificar rápidamente una amplia gama de tipos de vulnerabilidades desde el comienzo de tu SDLC.
Nuestra herramienta SAST soporta alrededor de 15 lenguajes de programación y se compara continuamente con otras herramientas para mejorar su alcance y reducir las tasas de falsos positivos. Notablemente, en 2021, nuestra herramienta SAST logró un 100% en verdaderos positivos y 0% en falsos positivos contra el benchmark OWASP versión 1.2, demostrando una precisión excepcional y ruido mínimo.
Los hallazgos del escáner de Fluid Attacks se entregan a través de nuestra intuitiva plataforma de gestión de vulnerabilidades y API, así como a través de convenientes extensiones de IDE, haciéndolos altamente prácticos para tu equipo de desarrollo. Más allá de la detección, también aprovechamos la inteligencia artificial generativa para proporcionarte opciones de corrección automatizadas y personalizadas para vulnerabilidades específicas en tu código, aliviando significativamente la carga de remediación.
Quizás sorprendentemente, el escáner SAST y otras herramientas de Fluid Attacks son de código abierto. Lo que realmente distingue a Fluid Attacks es nuestro enfoque holístico. Combinamos múltiples técnicas de prueba en una única solución integrada, abarcando SAST, SCA, DAST, gestión de postura de seguridad en la nube (CSPM), revisión de código seguro (SCR), pruebas de penetración como servicio (PTaaS), y ingeniería inversa (RE). Nuestros pentesters también están disponibles para ayudar a tus equipos de desarrollo y seguridad a resolver preguntas sobre las vulnerabilidades más complejas, asegurando que no quede ningún problema sin abordar. También verificamos activamente el éxito de la remediación con reataques y podemos romper la construcción en tus tuberías CI/CD para prevenir despliegues inseguros, solidificando tu postura de seguridad.
El futuro de SAST: IA y remediación automática
SAST no es un campo estático; está evolucionando continuamente con los avances en tecnología. La integración de inteligencia artificial (IA) y aprendizaje automático (ML) está transformando rápidamente las herramientas SAST. La IA/ML puede mejorar significativamente la precisión, reduciendo tanto los falsos positivos como los falsos negativos, y permitiendo que las herramientas SAST se adapten más rápido a nuevos patrones de vulnerabilidades.
Capacidades como "autofix" o "autoremediación" están volviéndose cada vez más comunes: el análisis estático, el contexto del código y los modelos de aprendizaje automático se utilizan para generar sugerencias de código precisas y seguras—y a veces incluso aplicar correcciones automáticamente—sin que los desarrolladores necesiten abandonar su IDE o romper el flujo de CI/CD. Estas innovaciones alivian la carga sobre los desarrolladores, permitiéndoles concentrarse más en escribir código seguro y construir aplicaciones innovadoras.
Conclusiones
La prueba de seguridad de aplicaciones estáticas es un componente indispensable de una robusta estrategia de seguridad de aplicaciones. Al proporcionar una profunda visibilidad en la base de código de una aplicación al principio del ciclo de vida del desarrollo, SAST permite a las organizaciones detectar y remediar vulnerabilidades cuando son menos costosas de arreglar y antes de que puedan ser explotadas.
Si bien SAST tiene sus limitaciones, particularmente en lo que respecta al contexto en tiempo de ejecución, sus fortalezas—incluyendo cobertura completa del código, automatización y la capacidad de "desplazar a la izquierda"—lo convierten en un poderoso mecanismo de prevención. Cuando SAST se combina con métodos complementarios como DAST y SCA, y se integra en un pipeline DevSecOps maduro, asegura un enfoque integral y proactivo hacia la seguridad del software.
Invertir en SAST y tecnologías relacionadas no solo salvaguarda aplicaciones, sino que también mantiene la reputación y confiabilidad de los equipos de desarrollo y sus empresas, que demuestran un compromiso inquebrantable con la excelencia y la seguridad en el desarrollo de software.
