Аудит кода

Как отмечалось в соответствующих разделах (web-приложения, Desctop-приложения, мобильные приложения, корпоративные информационные системы) – в качестве расширения анализа защищенности приложения может быть проведен аудит его исходного кода. Только такой анализ позволяет выявить многие недекларированные возможности (НДВ), включая программные закладки, скрытые дефекты, нарушения бизнес-логики, отдельные виды архитектурных проблем и другие опасные артефакты. Выявление данного типа уязвимостей другими методами крайне затруднительно, а иногда и просто невозможно. Анализ проводится с использованием как сканеров, так и путем углубленного ручного изучения отдельных составляющих.

Заказывая аудит кода, заказчик может быть уверен в гораздо большем покрытии анализом своего приложения.

Задачи аудита

Аудит кода приложения позволяет решить следующие задачи:

1

Узнать о НДВ и программных закладках;

2

Узнать о небезопасной функциональности языка;

3

Узнать об архитектурных уязвимостях;

4

Узнать о нахождении конфиденциальных данных в исходном коде;

5

Узнать о прочих недостатках и уязвимостях, влияющих на конфиденциальность, целостность, доступность.

Объект исследования

Объектом аудита является исходный код приложений и их серверной части. Такой подход позволяет найти большее количество проблем безопасности.

К основным видам проверок относятся:

Объект_Аудит кодаАнализ архитектуры, состава и характеристик программных средств как всего приложения в целом, так и отдельных компонентовПроведение динамического анализа безопасности исходного кодаПроведение анализа безопасностиисходного кода вручнуюОценка найденных недостатков и уязвимостейи возможных последствийОбъектисследования
  • Анализ архитектуры, состава и характеристик программных средств как всего приложения в целом, так и отдельных компонентов;
  • Проведение динамического анализа безопасности исходного кода;
  • Проведение анализа безопасности исходного кода вручную;
  • Оценка найденных недостатков и уязвимостей и возможных последствий.

Результат проекта

Результатом проведения работ будет экспертный отчет, содержащий:

Результат_Аудит кодаДемонстрации реализации выявленных значимых уязвимостейРекомендациипо повышению текущего уровня защищенностиПеречень обнаруженных уязвимостей, ошибок конфигурации, архитектурных уязвимостейи других выявленных недостатков приложенийс точки зрения информационной безопасностиРезультатпроекта
  • Перечень обнаруженных уязвимостей, ошибок конфигурации, архитектурных уязвимостей и других выявленных недостатков приложений с точки зрения информационной безопасности;
  • Демонстрацию реализации выявленных значимых уязвимостей;
  • Рекомендации по повышению текущего уровня защищенности.

Примеры проектов

Свяжитесь с нами

Россия, 115280, Москва,
ул. Ленинская Слобода 26,
бизнес-центр «Omega-2», корпус C

Общие вопросы: info@dsec.ru

Отдел продаж: sales@dsec.ru

Пресса: pr@dsec.ru