Al evaluar el nivel de seguridad de las aplicaciones, es importante tener en cuenta ciertos factores, tales como el tamaño de la aplicación en desarrollo. El tamaño de la aplicación se ha demostrado estadísticamente que se relaciona con el número de problemas encontrados con las pruebas. Una de las medidas del tamaño de la aplicación es el número de línea de código (LOC) de la aplicación. Generalmente, los defectos de calidad del software van desde unos 7 a 10 defectos por cada mil líneas de código nuevo y modificado [21]. Dado que las pruebas pueden reducir el número global de alrededor del 25% con una prueba por sí sola, es lógico que las aplicaciones de mayor tamaño deben ser probados mucho más y con frecuencia más que las aplicaciones de menor tamaño. Cuando las pruebas de seguridad se realizan en varias fases de la SDLC, los datos de las pruebas podrían demostrar la capacidad de las pruebas de seguridad en la detección de vulnerabilidades tan pronto como se ellas se hayan introducido, y demostrar la eficacia de la eliminación de ellos mediante la implementación de contramedidas en los diferentes puntos de control de la SDLC. Una medida de este tipo también es definido como "medidas de contención" y proporciona una medida de la capacidad de una evaluación de seguridad realizada en cada fase del proceso de desarrollo para mantener la seguridad dentro de cada fase. Estas medidas de contención son también un factor crítico en la reducción del coste en solucionar vulnerabilidades, ya que es menos costoso hacer frente a las vulnerabilidades cuando se encuentren (en la misma fase de la SDLC), en lugar de la solucionarlos más adelante en otra etapa Métricas de las pruebas de seguridad permiten el análisis del riesgo de seguridad, el coste y la gestión de defectos cuando es asociado con objetivos tangibles y oportunos tales como: •
Reducir el número total de vulnerabilidades en un 30%
•
Los problemas de seguridad serán solucionados antes de un plazo determinado (por ejemplo, antes de la versión beta)
Los resultados de las pruebas de seguridad pueden ser absolutos, como el número de vulnerabilidades detectadas durante la revisión manual de código, así como comparativos, tales como el número de vulnerabilidades detectadas en la revisión de código frente a las pruebas de intrusión. Para responder a las preguntas acerca de la calidad del proceso de seguridad, es importante determinar una línea de base para lo que se podría considero aceptable y bueno. Los resultados de las pruebas de seguridad también ayudan a los objetivos específicos del análisis de la seguridad, tales como el cumplimiento de las normas de seguridad y estándares de la seguridad de la información, la gestión de los procesos de seguridad, la identificación de las causas de seguridad y procesos de mejora, y los costes de la seguridad frente a los beneficios.. Cuando el resultado de las pruebas de seguridad es reportado, deben proporcionar métricas para apoyar el análisis. El alcance del análisis es la interpretación de los resultados de las pruebas para encontrar pistas sobre la seguridad del software que está siendo producido, así como la eficacia del proceso. Algunos ejemplos de pistas apoyadas por los resultados de las pruebas de seguridad pueden ser:
42
•
¿Las vulnerabilidades son reducidas a un nivel aceptable para el “release”?
•
¿Cómo el nivel de seguridad del producto se con similares productos de software?
•
¿Son todos los requerimientos de las pruebas de seguridad cumplidos?
•
¿Cuáles son las principales causas de los problemas de seguridad?
•
¿Cómo son de numerosas los fallos de seguridad frente a los errores de seguridad?