Saltar al contenido principal

Revisión de código de seguridad - Detectando errores antes del lanzamiento

Lectura de 2 min aprox.

La revisión de código es una práctica de gestión de la calidad en la que el código fuente escrito por un desarrollador es inspeccionado por otro para encontrar errores, vulnerabilidades y problemas de diseño. Según una investigación de IBM, la revisión de código puede detectar más defectos que las pruebas, con una tasa de eliminación de defectos que alcanza del 60 al 90%. Desde el punto de vista de la seguridad, una gran ventaja es que el ojo humano puede detectar fallos en la lógica de autorización y vulnerabilidades de la lógica de negocio que resultan difíciles de detectar para las herramientas automatizadas. A fecha de 2025, la importancia de la revisión de código está creciendo, también desde la perspectiva de verificar la calidad de seguridad del código generado por herramientas de autocompletado como GitHub Copilot.

Caso de uso real

«Durante la revisión de un pull request, encontré un endpoint de API al que le faltaba la comprobación de autorización. Era una vulnerabilidad IDOR (Insecure Direct Object Reference) que permitía a cualquier usuario autenticado acceder a los datos de otra persona, un patrón que la herramienta SAST no había logrado detectar.»

Revisión desde la perspectiva de la seguridad

En una revisión de código de seguridad, te centras en la falta de validación de entradas, los patrones de vulnerabilidad de inyección SQL y XSS, las credenciales codificadas en el código y el manejo inadecuado de errores (como la exposición de trazas de la pila). La Guía de Revisión de Código de OWASP recomienda priorizar la inspección de cuatro áreas: autenticación, autorización, gestión de sesiones y cifrado.libros de introducción a la revisión de código (Amazon) permiten aprender de forma sistemática.

Cómo llevarla a cabo de forma eficaz

Se considera que la cantidad óptima de código que revisar en una sola sesión es de 200 a 400 líneas; más allá de eso, la concentración disminuye y aumentan los descuidos. Utiliza una lista de verificación para las revisiones y comprueba de forma sistemática los elementos acordes con los principios de la codificación segura. Las revisiones asíncronas con herramientas, como las revisiones de pull request de GitHub y las de merge request de GitLab, son lo habitual, pero las revisiones síncronas al estilo de la programación en pareja también son eficaces para la lógica compleja. Protege el acceso a tu repositorio con una contraseña aleatoria robusta y configura reglas de protección de ramas que impidan las fusiones sin aprobación de la revisión.libros sobre calidad del software (Amazon) también son una referencia útil.

Términos relacionados

¿Te resultó útil este artículo?

XHatena