Услуги
Аудит информационной безопасности

Аудит информационной безопасности компании – многоплановая задача, в
которую входит несколько направлений анализа
ИТ-инфраструктуры и оценки защищенности приложений и устройств

Подробнее
Решения
Решения

Аккумулировав весь опыт Digital Security, мы подготовили отдельные решения по аудиту безопасности. Каждое решение объединяет специализированные услуги для конкретной отрасли бизнеса или сферы исследования. Вы можете выбрать любую из них или несколько — в комплексе

О нас
Digital Security

Практическая информационная безопасность – наша специализация и любимое дело. Уже 18 лет мы помогаем нашим клиентам уберечь сервисы и системы от киберугроз, а также активно участвуем в развитии мирового ИБ-сообщества

Подробнее
Экспертиза
Экспертиза

Для клиентов Digital Security работает команда экспертов ИБ мирового уровня. Мы получаем благодарности за вклад в обеспечение безопасности от лидеров ИТ-индустрии, а также подтверждаем свои навыки международными сертификатами в области ИБ

Подробнее
Ресурсы
Ресурсы

Мы создаем контент для тех, кому интересна информационная безопасность. Многостраничные технические статьи, бизнес-аналитика с емкими выводами, записи вебинаров и презентации с профильных конференций — все вы найдете в этом разделе

Подробнее

Мы создаем контент для тех, кому интересна информационная безопасность. Многостраничные технические статьи, бизнес-аналитика с емкими выводами, записи вебинаров и презентации с профильных конференций — все вы найдете в этом разделе

Посмотреть раздел

Масштабные исследования и аналитические обзоры. Описания хакерских инструментов и техник

Статьи и аналитические работы, полезные для бизнеса. Экспертное мнение об актуальных проблемах информационной безопасности

Видеоархив наших вебинаров и конференций. А также анонсы предстоящих мероприятий

Руководства, презентации, чек-листы. Гайды для повышения уровня осведомленности в вопросах ИБ

DevSecOps: фаззинг

Сегодня все больше компаний используют методологию DevSecOps в процессе разработки. Ее основная идея – непрерывный контроль безопасности на каждой стадии создания продукта. Важно, что процедуры контроля при DevSecOps максимально автоматизированы, это значительно экономит ресурсы и повышает точность проверок.

Одним из главных этапов внедрения DevSecOps является фаззинг (fuzzing). Это специальная методика автоматизированного обнаружения ошибок кода. Программа-фаззер отправляет в тестируемое ПО заведомо некорректные данные, а затем анализирует реакцию на них.

Внедрение фаззинга в процесс разработки позволит вам выявлять ошибки и уязвимости на самых ранних стадиях, а значит, выпускать наиболее защищенный продукт. К тому же цена исправления уязвимости до ввода продукта в эксплуатацию существенно ниже, чем цена внеплановых обновлений безопасности после релиза.

Как будем действовать

Мы проведем сбор и анализ данных о системе, чтобы определить поверхность атаки (Attack Surface) и задать цели для отслеживания. Далее для каждой цели наши эксперты разработают фаззеры и составят фаззинг-систему. После тестирования и необходимых корректировок мы адаптируем фаззинг-систему под особенности вашей инфраструктуры и внедрим ее в цикл разработки продукта.

Объекты исследования
Исходный код
программного продукта
Тесты, которыми
покрывается код
Инфраструктура и средства,
используемые при разработке
и сборке программного продукта

Эксперты Digital Security внедряют фаззинг в процессы разработки крупнейших IT компаний. Мы готовы
провести весь комплекс работ по организации фаззинга, чтобы повысить безопасность вашего
программного продукта

Об этом нас часто спрашивают

Мы ответили на популярные вопросы, которые нам задают об услуге
«DevSecOps: фаззинг».
Возможно, эта информация будет вам полезна.

Какие фаззеры вы используете?

Список фаззеров согласуется с вами. Это могут быть как LibFuzzer, AFL, так и специализированные разработки под ваш проект.

Сколько длится проект?

Фаззинг – это уникальная услуга, поэтому такой показатель как «стандартная длительность проекта» здесь отсутствует. Срок будет зависеть от объема кода, особенностей инфраструктуры и квалификации специалистов на стороне заказчика.

Что мы получим в результате работ?

По окончании проекта мы предоставим вам:

  • Описание поверхности атаки (Attack surface)
  • Необходимые настройки для фаззинг-сборки программного продукта
  • Готовые фаззеры
  • Практические рекомендации по усовершенствованию тестов безопасности кода
  • Фаззинг-систему, интегрированную в процесс сборки программного продукта
  • Перечень найденных уязвимостей и ошибок ПО
Вам может быть интересно
Другие услуги
Reverse engineering — подход к исследованию безопасности устройств или программного обеспечения без доступа к исходному коду.
Даже опытный разработчик при написании кода может допустить ошибки, которые не повлияют на работу приложения, но могут быть использованы злоумышленником. Аудит исходного кода покажет все, что находится «под капотом» системы.
Современные подходы к разработке предполагают высокую частоту выпуска релизов и не менее высокие требования к безопасности. Чтобы этим требованиям соответствовать, необходимо проводить анализ защищенности каждого релиза.
Приложения интегрированы в бизнес-процессы большинства компаний, а для многих разработка и является бизнесом. Это очень живая сфера, где регулярно появляются новые подходы и решения. Однако не только функциональность и удобство отличает качественное ПО, высокий уровень безопасности – важный критерий.
Связаться с экспертом

Заполните форму, и мы ответим на все ваши вопросы

    Мы используем куки. Никогда такого не было, объясните

    ОК