El propósito de esta charla es explicar que es el análisis SAST o de caja blanca, cual son sus diferencias con un pentest, un blue team o un red team. Ademas, se pretende mostrar como iniciarse en este área mediante el uso de las herramientas opensource, ademas de mostrar el funcionamiento de otras herramientas lideres en el sector como Checkmarx, Veracode o HP Fortify.
Parte de esta charla se fundamentara en el OWASP Top10 como metodología principal de trabajo, ademas de otros estándares como el ASVS.
Se mostraran ejemplos de código “reales” (ocultando cualquier posible identificación con sus autores) y las posibles mitigaciones.
