...
En la revisión de la Tarea QA se tendrán en cuenta los siguientes aspectoscomprobará que se han realizado las siguientes acciones:
1.
...
Comprobar que el código fuente es correcto y sin problemas conocidos
El código debe estar implementado de manera correcta para que no contenga ni vulnerabilidades conocidas ni problemas de estabilidad. Para ello se usará la herramienta SAST (Static Application Security Testing) SonarQube, la aplicación no deberá presentar ningún bug ni vulnerabilidad . También se deberán reducir los CodeSmell lo máximo posible dentro de lo razonable (en caso de duda en este punto consultar con MNCS).
2.
...
Revisar que el código fuente esté bien documentado
Todas las API's REST deberán tener documentación en formato OpenAPI ( Documentar APIs con OPENAPI ). Las API's Soap deberán estar documentadas mediante Enunciate ( Documentar APIs REST con Enunciate ). La documentación de dichas APIs una vez terminada deberá ser validada por MNCS.
3.
...
Verificar que el sistema de log esté bien configurado y adecuado
La aplicación deberá tener log suficiente para poder trazar las acciones de un usuario en el sistema . También tendrá que estar configurado para su uso en Lagar lo que nos otorgará la capacidad de poder crear paneles y filtros que mejoraran el seguimiento de las acciones llevadas a cabo en la aplicación ( Visualización de Logs de FundeWebJS en LAGAR ).
4. Asegurar que las API's expuestas
...
esté bien implementadas y
...
sigan los estándares de la industria
Las API's deberán estar correctamente implementadas para todos los casos posibles (válidos o situaciones de error).
...
En el caso de las API's Soap la API deberá apoyarse en un XML Schema formado por la aplicación donde se contemplará la inclusión de mensajes y códigos de respuesta aparte del resultado pedido para que la aplicación cliente pueda reaccionar ante posibles problemas. En caso de requerir seguridad deberá contemplar lo indicado en Servicios web seguros , también debe garantizar que no acepta DTD o fuentes externas para evitar inyección de XML o ataques de denegación de servicio basado en el uso de DTD o XML maliciosos.
5.
...
Garantizar que la aplicación es segura y no hay agujeros de seguridad conocidos
Para ello se deberá pasar la plantilla ( MDA-TR-1.0-QS-Pasar Plantilla de Seguridad ) donde los miembros del equipo de desarrollo deberán indicar que han pasado todos los hitos que en ella se recogen y explicar cómo lo han probado. De esta manera en una revisión posterior se puede detectar si las pruebas son correctas o hay que modificarlas.
...
...