Анализ безопасности исходного кода

В настоящее время большинство атак происходит на уровне приложений. Поэтому безопасность программного обеспечения имеет наивысший приоритет. Сложности часто возникают с ПО, разработанным на заказ, поскольку защите информации и уязвимостям в системе уделяется минимум внимания.

Одним из наиболее эффективных методов анализа безопасности ПО является аудит безопасности исходного кода. Он позволяет выявить большинство проблем, недостатков и уязвимостей в программах, имеет большее покрытие по сравнению с тестом на проникновение, поскольку аудитор имеет доступ ко всему приложению. В процессе безопасной разработки программного обеспечения (SDL) аудит кода является обязательной практикой на этапе реализации и выпуска ПО.

Аудит безопасности исходного кода позволяет определить:

  • Уязвимости и недостатки безопасности в архитектуре приложения;
  • Уязвимости в используемых сторонних библиотеках;
  • Закладки, оставленные разработчиками преднамеренно и непреднамеренно;
  • Соответствие кода стандартам платформы или языка программирования.

Методика аудита и содержание работ

Аудит проводится с использованием автоматизированных средств собственной разработки и ручного анализа.

Процесс аудита безопасности кода состоит из следующих этапов:

  • Моделирование угроз;
  • Сканирование кода автоматизированными средствами;
  • Проверка и реализация критичных механизмов защиты на соответствие рекомендациям безопасности языка или платформы с использованием ручного анализа;
  • Поиск недостатков и уязвимостей кода, связанных с вызовами опасных функций языка и платформы с применением ручного анализа;
  • Оценка найденных недостатков и уязвимостей в соответствии с моделью угроз;
  • Составление рекомендаций по устранению недостатков и уязвимостей.

Результат работы

По итогам предоставляется детальный отчет, включающий в себя:

  • Найденные в процессе аудита недостатки;
  • Рекомендации по устранению найденных недостатков и уязвимостей;
  • Рекомендации по улучшению безопасности ПО.

Статьи по теме:

Оставить заявку

Оставить заявку