configuración de VS Code, auditando código
Auditoría de código,  Desarrollo seguro

Leer código auditando seguridad

Hoy vamos a ver la mejor opción que tenemos cuando estamos auditando seguridad y nos toca leer código de forma manual. Después de ejecutar plataformas automáticas de análisis estático. Cuando llega la hora de leer y leer. Qué herramienta nos interesa más?

Revisión de código manual auditando seguridad

Auditando seguridad en lo referente a leer código estático. A veces no vas a tener la suerte de tener tiempo disponible, ni soporte suficiente para montarte el entorno de desarrollo y hacer funcionar/debug de la aplicación con el entorno de desarrollo funcional. Lo que siempre te va a tocar es leer el código.

antiguo ordenador con código en la pantalla (auditando seguridad leer código)

Vas a leer mucho código para interpretar los resultados arrojados por una herramienta de análisis de código estático automática. Además vas a leer mucho código para encontrar vulnerabilidades tu también. En este aspecto el coloreado de sintaxis es tu mejor amigo y te voy a dar las claves de este.

Entorno de revisión enfocado a leer código

Si no trabajas auditando seguridad en la misma plataforma siempre y te toca leer código de diferentes tecnologías. Te interesa usar y aprender sobre una herramienta multiplataforma y multilenguaje. Preferiblemente sencilla y rápida, con buena opción para búsquedas (aunque la búsqueda siempre la puedes hacer en bash).

imagen del editor de código elegido

VS Code, Visual Studio Code

Hay muchas opciones pero en este articulo voy a explicarte la que estoy usando yo actualmente, VS Code. Es un editor de texto y código fuente de los más descargados y usados actualmente (2.6 millones). De código libre, multilenguaje, multiplataforma, rápido y lo más importante con plugins que llevan el coloreado de sintaxis a otro nivel. Tiene versión windows, linux (.deb y .rpm) y macOS.

Microsoft no suele ser de mi agrado, suelen desarrollar productos software monstruosos con miles de opciones que no necesitas. Intentando atrapar a usuarios que solo saben usar sus productos, en plataformas complicadas que no tienen ninguna compatibilidad. Pero desde hace años están intentando subirse al carro de la comunidad.

VS Code en github (auditando seguridad leer código)

Mira que bonico hay en github con más de 53.000 commits y 953 colaboradores https://github.com/microsoft/vscode

VS Code es resultado de esta nueva filosofía, de hecho lo suyo es que sirviera para poder tirar visual studio a la basura ^^ . Por ello tiene licencia MIT. que es una de las más permisivas que existen, prácticamente puedes hacer lo que quieras con el código o una porción de este y lo único que exige es que referencia a los derechos de autor sean incluidas en todas las copias.

Plugins o extensiones: Sintaxis de colores

Una vez lo instales te voy a recomendar unos plugins de coloreado de sintaxis para que te ayuden auditando o a la hora de leer código. Que la verdad me han sorprendido mucho y en realidad es lo que origina sobre todo el articulo. Uno de los objetivos del articulo es buscar y mantener la mejor herramienta flexible y ágil para leer todo tipo de código de forma rápida.

Por lo anterior es muy importante no sobrecargar nuestro VS Code e instalar pocos plugins. Nada de entornos de desarrollo, si montas un entorno de desarrollo de un proyecto concreto, puedes hacerlo aparte. De esta manera mantienes liviano y ágil el entorno de revisión.

Rainbow Brackets

Un arcoíris de colores para los parentesis, corchetes y llaves del código. Para cada par (apertura y cierre) asigna un color por lo que inconscientemente leemos el código con mayor facilidad y claridad.

rainbow brackets

Indent-Rainbow

Colorea la indentación del código, asignando una tonalidad sutil a cada nivel de tabulación. De igual forma que el anterior es una mayor comodidad que se agradece, sobre todo cuando te enfrentas a una larga jornada de revisión de código.

indent-rainbow tabulación de colores

Prettier

No menos importante para la comodidad en lectura de código es la indentación. Si vas a leer mucho tiempo código de un proyecto es muy recomendable hacerte una copia del código y formatearla por completo.

plugin prettier

De esta manera no estarás dependiendo de como tabula y organiza el código un desarrollador concreto, ni de las manías y diferencias entre diferentes códigos. Todo el código del proyecto tendrá la misma disposición y su lectura te será más cómoda y rápida.

Rainbow Highlighter

El habitual resaltado de color en todo el archivo para la variable en la que ponemos el cursor. Pero esta vez pudiendo sumar variables y encontrarlas con diversos colores, con el shortcut «shift+alt+z».

extensión rainbow-highlighter

Más color

Coloreado de sintaxis para:

Temas, para gustos colores

Hablando del coloreado de sintaxis lo más importante es el tema que elijas. Es una pasada la cantidad de temas de colores y lo fácil que los descargas e instalas. Puedes ver un catalogo y previsualizar el estilo de cada uno. A mi me gustan más los oscuros y con el código en contraste lo más colorido posible, estos me parecen mucho más cómodos y me castigan menos la vista.

Deepdark Material Theme

Este es el que más me ha gustado de los que he estado viendo, muy oscuro y muchos colores en el código que es donde importa.

Deepdark Material Theme

Monokai

Un clásico ya, este tema es de los preferidos entre los de fondo oscuro.

tema VS Code monokai

Auditando seguridad con búsquedas y opción de expresiones regulares

El editor elegido para este articulo, VS Code, también tiene una buena funcionalidad de búsqueda. Por un lado desde los grandes botones del menú de la izquierda, con la opción de la lupa podrás buscar texto en múltiples archivos, desde el nivel raíz de la carpeta seleccionada en el apartado explorer. Si seleccionas la raíz de tu proyecto podrás buscar en ese contexto.

captura de pantalla de botón de expresiones regulares en VS Code, auditando seguridad leer código

Por otro lado con un archivo abierto y CTR + F se mostrará arriba a la derecha el pequeño menú de búsqueda dentro de un archivo. En las dos opciones descritas, tanto para buscar dentro de la carpeta abierta en el explorador como dentro del archivo, disponemos de la opción de expresiones regulares. Esta opción es muy útil localizando patrones en una auditoría de código, como describo en el apartado de cheat sheet con varios ejemplos de las expresiones regulares que encuentro más prácticas.

Conclusiones

Bueno al final me he liado y he montado lo más parecido a un árbol de navidad de código. No hace falta que seais tan exagerados y frikis como yo, pero si os toca leer mucho código y montais un entorno de lectura con algunos de estos plugins tus ojos te lo agradecerán.

Referencias y recursos para profundizar más en el tema

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

error

Enjoy this blog? Please spread the word :)

error: