Аудит безопасности исходного кода

Максимально глубокий анализ и максимальные гарантии безопасности

Устраните уязвимости до того, как ваш проект увидит мир. Получите исключительный уровень безопасности с помощью нашего автоматического и ручного анализа безопасности исходного кода ваших приложений, сервисов и программных компонентов.

Вы никогда не достигнете такого уровня гарантии с помощью тестирования на проникновение, исключительно автоматической проверки кода или любых других мер безопасности.

image -audit code

Цель анализа

Цель этого анализа — оценка безопасности исходного кода ваших систем или приложений: проверка целостности и непротиворечивости вашего кода, принципов безопасного кодирования, поиск небезопасных или устаревших функций, скрытых логических бомб и ловушек, черных ходов, недокументированных функций, неоптимальных методов кодирования и 10 уязвимостей OWASP:

  • A1: 2017 – Инъекции
  • A2: 2017 – Нарушения аутентификации
  • A3: 2017 – Раскрытие конфиденциальных данных
  • A4: 2017 – Внешние экземпляры XML (XML External Entities, XXE)
  • A5: 2017 – Нарушения управления доступом
  • A6: 2017 – Ошибки конфигурирования безопасности
  • A7: 2017 – Межсайтовый скриптинг (Cross-Site Scripting, XSS)
  • A8: 2017 – Небезопасная десериализация
  • A9: 2017 – Использование компонентов с известными уязвимостями
  • A10: 2017 – Недостаточное журналирование и отслеживание событий

Для достижения целей аудиторы используют два метода:  

 

1

SAST (Static Application Security Testing, статическое тестирование безопасности приложений), которое позволяет анализировать исходный код на наличие известных уязвимостей с помощью автоматизированных инструментов.

2

Ручная проверка и анализ исходного кода для того, чтобы выявить небезопасные и неоптимальные методы кодирования, скрытые логические бомбы и ловушки, бэкдоры и недокументированные функции.

Мы поддерживаем:

Java EE (JBoss, Tomcat и т. д.), Java/Kotlin Android, Objective-C/Swift iOS/MacOS, PHP, Javascript, Python, C/C++/Assembler, Solidity, Golang, Lua и другие языки программирования.

Анализ безопасности исходного кода может быть выполнен в виде отдельного проекта, в сочетании с тестированием на проникновение в режиме “белый ящик”, либо как часть сервисов безопасности приложений или оценки безопасности.

Ознакомьтесь с дополнительными сервисами и бизнес-кейсами. Отправьте форму ниже для заказа анализа безопасности исходного кода вашего приложения. Получите бесплатную консультацию.

Бизнес-кейсы проектов, выполненых нами

Анализ безопасности исходных кодов программного обеспечения
Аудиты безопасности и тесты на проникновение
Кейсы по внедрению центра безопасности (Security Operations Center)
Реагирование на инциденты и их расследование
Управляемая безопасность и комплаенс (ISO 27001 и т. д.)