Аудит безпеки вихідного коду

Максимально глибокий аналіз і максимальні гарантії безпеки

Усуньте вразливості до того, як ваш проект побачить світ. Отримайте винятковий рівень безпеки за допомогою нашого автоматичного та ручного аналізу безпеки вихідних кодів програм, сервісів і програмних компонентів.

Вам ніколи не досягти такого рівня гарантії за допомогою тестування на проникнення, виключно автоматичної перевірки коду або будь-яких інших заходів безпеки.

image -audit code

Мета аналізу

Мета цього аналізу – оцінка безпеки вихідних кодів систем або додатків: перевірка цілісності та несуперечності вашого коду, принципів безпечного кодування, пошук небезпечних або застарілих функцій, прихованих логічних бомб і пасток, чорних ходів, недокументованих функцій, неоптимальних методів кодування і 10 вразливостей OWASP:

  • A1: 2017 – Ін’єкції
  • A2: 2017 – Порушення автентифікації
  • A3: 2017 – Розкриття конфіденційних даних
  • A4: 2017 – Зовнішні сутності XML (XML External Entities, XXE)
  • A5: 2017 – Порушення управління доступом
  • A6: 2017 – Помилки конфігурації безпеки
  • A7: 2017 – Міжсайтовий скриптинг (Cross-Site Scripting, XSS)
  • A8: 2017 – Небезпечна десериалізація
  • A9: 2017 – Використання компонентів із відомими вразливостями
  • A10: 2017 – Недостатнє журналювання та відстеження подій

Для досягнення цілей аудитори використовують два методи:  

 

1

SAST (Static Application Security Testing, статичне тестування безпеки додатків), яке дозволяє аналізувати вихідний код на наявність відомих уразливостей за допомогою автоматизованих інструментів.

2

Ручна перевірка та аналіз вихідного коду для того, щоб виявити небезпечні та неоптимальні методи кодування, приховані логічні бомби й пастки, бекдори й недокументовані функції.

Ми підтримуємо:

Java EE (JBoss, Tomcat тощо), Java/Kotlin Android, Objective-C/Swift iOS/MacOS, PHP, Javascript, Python, C/C++/Assembler, Solidity, Golang, Lua та інші мови програмування.

Аналіз безпеки вихідного коду може бути виконаний у вигляді окремого проекту, в поєднанні з тестуванням на проникнення в режимі “білий ящик”, або як частина сервісів безпеки додатків або оцінки безпеки.

Ознайомтеся з додатковими сервісами та бізнес-кейсами. Надішліть форму нижче для замовлення аналізу безпеки вихідного коду вашої програми. Отримайте безкоштовну консультацію.

Бізнес-кейси проектів, виконаних нами

Аналіз безпеки вихідних кодів програмного забезпечення
Аудити безпеки та тести на проникнення
Кейси з впровадженню центру безпеки (Security Operations Center)
Керована безпека й комплаєнс (ISO 27001 тощо)
Реагування на інциденти та їх розслідування