Herramientas para escribir código ASP.NET más seguro

El otro día leí un artículo que aseguraba que más de la mitad de las vulnerabilidades de software detectadas entre 2006 y 2008 eran relativas a aplicaciones Web. Dicho artículo no desvelaba la fuente de ese dato, por lo que no puedo asegurar su veracidad, pero me dió que pensar. En Microsoft llevamos tiempo desarrollando varias herramientas para ayudar a los desarrolladores a escribir código más seguro, especialmente código de aplicaciones web. Os invito a que os descarguéis y probéis estas herramientas para mejorar la seguridad de vuestras aplicaciones web (y de paso que visitéis el blog del grupo dentro de Microsoft que las desarrolla: Connected Information Security Group - http://blogs.msdn.com/cisg).

Microsoft Threat Analysis & Modeling v2.1.2
Esta herramienta nos permite identificar amenazas en la arquitectura y diseño de nuestras aplicaciones, sin necesidad de tener ningún conocimiento previo en temas de seguridad. La aplicación recaba datos sobre los componentes, roles de usuarios, casos de uso, dependencias externas, etc. de la aplicación, y a partir de estos datos identifica amenazas y proporciona recomendaciones sobre cómo definir una estrategia de seguridad adecuada a nuestro entorno.

Microsoft Code Analysis Tool .NET (CAT.NET) v1 CTP - 32 bit

CAT.NET es una herramienta de análisis de código .NET (realmente es un snap-in para Visual Studio 2005 y 2008) que nos ayuda identificar vulnerabilidades de Cross-Site Scripting y otros tipos de ataques relacionados con inyección de datos (SQL Injection, LDAP injection, etc.).

Microsoft Anti-Cross Site Scripting Library V3.0 Beta

Microsoft Anti-Cross Site Scripting (AntiXSS) ha sido diseñada para ayudar a desarrolladores a proteger sus aplicaciones de ataques de Cross-Site Scripting mediante validación de parámetros de entrada y codificación de la salida. Tal y como revela OWASP (Open Web Application Security Project) en su ranking Top 10 web application vulnerabilities , el Cross-Site Scripting es la vulnerabilidad más frecuente en aplicaciones web.

Microsoft Source Code Analyzer for SQL Injection

Esta herramienta analiza el código de nuestras aplicaciones ASP en busca de vulnerabilidades de inyección de SQL.

- Daniel Mossberg