Kontrola zdrojových kódů

Bezpečný vývoj a revize zdrojového kódu:

Code review
Kontrolujeme bezpečnost poskytnutých zdrojových kódů formou manuální i automatizované analýzy a podáváme doporučení šitá na míru dané aplikaci i technologiím. 

Advanced white-box
Provádíme komplexní prověřování bezpečnosti aplikací kombinací bezpečnostních revizí kódu, penetračních testů a auditů cílových aplikací.

Checkmarx
Pomáháme klientům implementovat pokročilá řešení od společnosti Checkmarx pro automatizovanou analýzu zdrojových kódů (CxSAST), analýzu kompozice aplikace (CxSCA) a školení vývojářů (Codebashing).

Školení a konzultační činnost
Provádíme školení bezpečného vývoje v oblasti procesní (SSDLC) i technické (bezpečný vývoj webových aplikací).​

• ​Revize aplikací v mnoha populárních jazycích (Java, C#, PHP, …). 
• Interní metodologie založená na zkušenostech z bezpečného vývoje i penetračních testů, opírající se o uznávané standardy projektu OWASP. 
• Umožňuje odhalit vývojářské chyby, backdoory, chyby v návrhu, nedodržování best practices, použití slabé kryptografie a mnoho dalších zranitelných míst v aplikaci. 
• Code review se skládá ze dvou hlavních analyzačních částí: 
  • ​Automatizovaná revize celého kódu pomocí open-source i proprietárních nástrojů a prověření výsledků bezpečnostním specialistou. 
  • Manuální revize celého kódu, či jeho dílčích částí vybraných klientem či bezpečnostním specialistou.
• Nalezené zranitelnosti jsou podrobně popsány a jsou k nim na míru poskytnuta doporučení, která berou v potaz použitý technologický stack.​

• Pokročilá forma white-box testování.
• Kombinace penetračních testů, code review a volitelně i dalších disciplín. 
• Dosahuje vyšší kvality i efektivity spojením sil etických hackerů s experty na bezpečný vývoj. 
• Maximalizuje užitek z více bezpečnostních disciplín.

• CxSAST – nástroj pro automatizovanou statickou analýzu zdrojových kódů, který je možné integrovat se širokým spektrem technologií. 
• CxSCA – nástroj pro analýzu kompozice software, jehož cílem je nalezení zranitelných softwarových závislostí i licenčních konfliktů. 
• ​Codebashing – platforma pro vzdělávání vývojářů v oblasti psaní bezpečného kódu. 

• Školení technického i procesního charakteru. 
• Konzultace v oblasti bezpečného vývoje.

Jeden z našich předních klientů nás požádal o penetrační testy nově vytvářené mobilní aplikace, která spravuje finanční informace uživatelů. Jelikož byla aplikace vyvíjena dodavatelskou firmou, byly jsme klientem kromě ověření bezpečnosti požádání také o prověření dodržení kritérií, které měla aplikace dle návrhu splňovat. 

Při penetračních testech jsme objevili několik velmi závažných zranitelností v oblasti autentizace a autorizace, díky kterým by mohl útočník přistupovat k profilovým a finančním informacím všech uživatelů produktu. Tato velmi kritická data by mohla být hackery využita například k phishingovým kampaním, mířeným na uživatele, či přímo v útocích na instituci. Pokud by tato situace nastala již za reálného provozu, hrozily by společnosti velké finanční ztráty, s nimi spojena ztráta klientské základny a poškození dobré pověsti. Protože však penetrační testy proběhly včas před publikací aplikace do reálného provozu, podařilo se tomuto závažnému incidentu zabránit. ​

Analýza návrhu a reálného stavu aplikace navíc poukázala na některé odchylky od smluvených požadavků, například v oblasti práce s dokumenty uživatele, jenž podléhá zákonu o GDPR, kterou dodavatel v aplikaci nedostatečně zabezpečil. Klient tak mohl v rámci smlouvy vyjednat urychlené bezplatné opravy, a ještě tak navýšit úroveň zabezpečení své mobilní aplikace.​