A brasileira NalbaTech, empresa do grupo Nfq, comprou a bugScout, plataforma espanhola de análise de código-fonte de apps móveis e outros softwares. A solução consegue analisar e identificar em poucos minutos se há vulnerabilidades em códigos-fonte de 34 diferentes linguagens de programação. Sabesp e El Corte Inglés estão entre os clientes da bugScout. O valor da compra não foi revelado, mas a NalbaTech informa que vai investir 1,5 milhão de euros em três anos para reforçar a operação da bugScout, cuja equipe de desenvolvimento continuará na Espanha. Um dado curioso sobre o negócio: a NalbaTech era, até então, um canal de vendas da bugScout. Trata-se, portanto, de um raro caso do mundo dos negócios em que o canal de venda compra a fabricante.

A bugScout realiza dois tipos de análise de código-fonte: estática e dinâmica. Na estática, é verificado se a programação atendeu a todos os diferentes padrões e protocolos internacionais de segurança. A dinâmica, por sua vez, consiste em “estressar” o software na tentativa de revelar alguma vulnerabilidade que não tenha sido apontada pela análise estática. Em média, 94% das vulnerabilidades são apontadas na análise estática.

“As vulnerabilidades são globais. Quando é identificada uma nova, a gente atualiza a plataforma. É um mundo vivo que evolui todos os dias. Nossa atualização é constante, feita diariamente. Temos engenheiros dedicados única e exclusivamente a isso”, relata Francisco Bernabeu, diretor da NalbaTech. “A exposição de dados é a principal vulnerabilidade que mais impacto provoca em apps móveis e em aplicações em geral”, comenta.

Cada vulnerabilidade encontrada é classificada de acordo com a sua gravidade: alta, média, baixa ou meramente informativa. Se for alta ou média, deve ser corrigida imediatamente, antes do lançamento do app. O relatório da bugScout estima quantas horas de trabalho serão necessárias para cada correção.

As análises são feitas através de um aplicativo virtual com acesso controlado pelo cliente, para a proteção do seu código-fonte. O processo é rápido e acontece em poucos minutos. Bernabeu cita um exemplo recente de um código-fonte de 1,8 milhão de linhas que foi analisado em 20 minutos.

A cobrança é feita por aplicação, como um serviço gerenciado. Vale lembrar que apps e outros softwares de grandes empresas costumam passar por frequentes atualizações, o que requer novos testes de análise de partes do seu código-fonte.

 

*********************************

Receba gratuitamente a newsletter do Mobile Time e fique bem informado sobre tecnologia móvel e negócios. Cadastre-se aqui!