Audyt kodu źródłowego

Bezpieczeństwo zaczyna się od kodu!

Dowiedz się więcej Pobierz przewodnik OWASP Code Review Guide

Audyt kodu źródłowego to usługa analizy kodu aplikacji, której celem jest wykrycie nieprawidłowej architektury, niebezpiecznych i niewspieranych bibliotek, umyślnych furtek (backdoor), naruszeń prawnych i licencyjnych oraz błędów bezpieczeństwa powstałych w trakcie wytwarzania oprogramowania przez zespół developerów. Usługa jest specjalistycznym testem bezpieczeństwa prowadzonym przez zespół inżynierów wspierany programistami oraz architektami oprogramowania. Badanie realizowane jest w labolatorium BLUEsec przy zapewnieniu najwyższych standardów bezpieczeństwa kodu dostarczonego przez Klienta.


Audyt kodu źródłowego jest obecnie uważany za jeden z najbardziej krytycznych etapów cyklu rozwoju systemów. Badanie powinno być zrealizowane przed produkcyjnym uruchomieniem wytwarzanej aplikacji. Zrealizowanie testu bezpieczeństwa pozwala zabezpieczyć aplikacje przed ujawnieniem danych produkcyjnych (np. danych osobowych lub innych informacji chronionych), nieautoryzowanym dostępem .


Wyceń usługę >>Testy penetracyjne >>OWASP Poland Day >>

Dowiedz się więcej o usłudze audytu kodu źródłowego

Wykorzystywane techniki przeglądu kodu źródłowego

Badanie realizowane jest poprzez analizę statystyczną i dynamiczną kodu aplikacji oraz przegląd kodu (code review). Audyt poprzedzony jest przeglądem dokumentacji rozwiązania. Analiza umożliwia weryfikację zarówno najczęściej spotykanych zagrożeń jak i zaawansowanych błędów bezpieczeństwa. W trakcie badania aplikacja zostanie zweryfikowana pod kątem:
  • walidacji danych wejściowych / wyjściowych,
  • komponentów uwierzytelnienia oraz autoryzacji,
  • mechanizmów zarządzania sesją,
  • mechanizmów zarządzania pamięcią (cookies, local storage, temp files),
  • środków kryptografii,
  • przechwytywania oraz obsługi błędów,
  • logowania zdarzeń oraz rozliczalności,
  • biznesowej logiki bezpieczeństwa,
  • komunikacji z zewnętrznymi procesami,
  • egzystencji plików płaskich,
  • parametrów zewnętrznych wywołań,
  • zmiennych środowiskowych.
Analiza statystyczna kodu aplikacji pozwala na identyfikację błędów programistycznych oraz podatności bibliotek stron trzecich. Analiza realizowana jest poprzez wykorzystanie dedykowanych skanerów kodów oraz weryfikację wyników przez doświadczonego inżyniera bezpieczeństwa teleinformatycznego. Wynikiem analizy jest zestawienie zidentyfikowanych nieprawidłowości, które zawiera miejsce wystąpienia błędu, opis oraz powagę błędu a także szczegółowa rekomendacja pozwalająca na usunięcie luki bezpieczeństwa.
Analiza dynamiczna kodu źródłowego polega na wykonywaniu testów na uruchomionej aplikacji. Aby audyt kodu źródłowego był skuteczny, weryfikowana aplikacja poddawana jest praktycznemu testowi polegającemu na zasilenie go danymi wejściowymi. Zastosowanie środków testowania oprogramowania, takich jak pokrycie kodu, pomaga zapewnić, że zaobserwowano odpowiedni fragment zestawu możliwych zachowań programu. Badanie pozwala monitorować zachowanie aplikacji z zaistnieniem specyficznych warunków wejściowych. Analiza wykonywana jest przez zespół składający się z inżyniera bezpieczeństwa oraz programisty.
Przegląd kodu aplikacji umożliwia ocenę architektury rozwiązania, w tym w szczególności zastosowanie podstawowych i zaawansowanych zabezpieczeń, standardów oraz dobrych praktyk w zakresie wytwarzania oprogramowania, tj. walidacja danych wejściowych i wyjściowych, bezpieczne przechowywanie informacji uwierzytelniającej czy egzystencja tylnych furtek (backdoor). Przegląd prowadzony jest przez programistę przy wsparciu doświadczonego inżyniera bezpieczeństwa teleinformatycznego. Wynikiem przeglądu jest ogólna ocena architektury rozwiązania, lista błędów bezpieczeństwa wraz z sposobem ich remediacji. Wnioski z analizy mogą posłużyć zespołowi developerów w przyszłości, przy pracach nad nowymi projektami.

Jakie są zalety wykonywania audytu kodu źródłowego?

Audyt kodu źródłowego > Identyfikacja podatności w rzeczywistych warunkach

Identyfikacja podatności w rzeczywistych warunkach

Audyt kodu źródłowego > Luki w zabezpieczeniach są wykrywane na wczesnych etapach rozwoju

Luki w zabezpieczeniach są wykrywane na wczesnych etapach rozwoju

Audyt kodu źródłowego > Zeskanuj cały kod - używane są zautomatyzowane narzędzia

Zeskanuj cały kod – używane są zautomatyzowane narzędzia

Audyt kodu źródłowego > znajdź podatności lub słabe punkty w kodzie w dokładnej lokalizacji

Znalezienie podatności lub słabych punktów w kodzie

Audyt kodu źródłowego > Przegląd kodu pomaga utrzymać spójny styl kodowania w całej firmie

Przegląd kodu pomaga utrzymać spójny styl kodowania w całej firmie

Skontaktuj się z nami i wyceń audyt kodu źródłowego

Eksperci BLUEsec zadbają o bezpieczeństwo kodu źródłowego Twojej aplikacji

  • Dostosowanie analizy do potrzeb klienta
  • Automatyczne oraz manualna weryfikacja kodu źródłowego
  • Precyzyjnie określone podatności w kodzie
  • Wykorzystywanie znanych i cenionych metodyk analizy kodu
  • W każdym projekcie uczestniczy wielu ekspertów w zakresie IT i prawa

Klienci

  • Ministerstwo Rozwoju
  • Telewizja Polska
  • Mazowiecka Jednostka Wdrażania Programów Unijnych
  • Ministerstwo Zdrowia
  • Gaz System
  • Operator Systemu Magazynowania
  • Katowicki Holding Węglowy S.A.
  • Orange Polska S.A.
  • Autostrada Wielkopolska S.A.
  • Uniwersytecki Szpital Kliniczny we Wrocławiu
  • Urząd Komunikacji Elektronicznej
  • Spółdzielcza Grupa Bankowa
  • Polska Grupa Energetyczna
  • Szpital MSWiA w Szczecinie
  • Wojewódzki Szpital Specjalistyczny w Jastrzębiu Zdroju
  • ABC Data S.A.
  • Rządowe Centrum Legislacji
  • Narodowy Fundusz Zdrowia
  • Energa IIT
  • Polskie Górnictwo Naftowe i Gazownictwo S.A.

Partnerzy

  • Advenica
  • Alien Vault
  • Baramundi Software AG
  • Famoc
  • Hp
  • IBM
  • MobileIron
  • Paloalto Networks