DevSecOps: фаззинг

Сегодня всё больше компаний строят процесс разработки своего софта по методологии DevSecOps. Основной её принцип — непрерывный контроль безопасности на каждой стадии разработки продукта. DevSecOps предполагает, что эти процедуры контроля должны быть максимально автоматизированы, что значительно экономит ресурсы и повышает точность проверок.

Одним из главных этапов автоматизации, а значит, внедрения полноценного DevSecOps, является фаззинг. Эта методика тестирования — неотъемлемая часть процессов аудита и поиска уязвимостей в программном обеспечении. Её суть заключается в обнаружении ошибок реализации путем отправки заведомо неверных данных и анализе реакции программы на них.

Интеграция фаззинга в процесс разработки позволяет выявлять ошибки и уязвимости на самых ранних стадиях, а значит, выпускать наиболее защищенный продукт. Цена исправления уязвимости до ввода в эксплуатацию существенно ниже, чем цена внеплановых обновлений безопасности после релиза.

Специалисты Digital Security обладают опытом внедрения фаззинга в процессы разработки крупнейших IT компаний. Мы готовы провести весь комплекс работ по организации фаззинга программного продукта в вашем цикле разработки. Список фаззеров согласуется с вами. Это могут быть как LibFuzzer, AFL, так и специализированные разработки под проект.


Заполните форму, и мы свяжемся с Вами, чтобы ответить на все вопросы
Дополнительные услуги

Задачи аудита

1

Определить поверхность атаки (Attack surface)

2

Внедрить непрерывное тестирование (Continuous Integration) безопасности программного продукта методом фаззинга

Объект исследования

  • Исходный код программного продукта
  • Тесты, которыми покрывается код
  • Инфраструктура и средства, используемые при разработке и сборке программного продукта

Результат проекта

  • Описание поверхности атаки (Attack surface)
  • Необходимые настройки для фаззинг-сборки программного продукта
  • Готовые фаззеры
  • Практические рекомендации по усовершенствованию тестов безопасности кода
  • Фаззинг-система
  • Интеграция фаззинг-системы в процесс сборки программного продукта
  • Перечень найденных уязвимостей и ошибок ПО

Хотите, мы расскажем подробнее?