Kontrola zdrojových kódů

Analýza zdrojového kódu odhalí skryté hrozby a slabá místa v aplikaci, která není snadné odhalit běžnými penetračními testy. Po revizi kódu vám odevzdáme podrobný popis zranitelností s konkrétními doporučeními k nápravě.

Platné od: 28. 11. 2023

Bezpečný vývoj a revize zdrojového kódu

Code review
Kontrolujeme bezpečnost poskytnutých zdrojových kódů formou manuální i automatizované analýzy a podáváme doporučení šitá na míru dané aplikaci i technologiím. 

Advanced white-box
Prověřujeme bezpečnost aplikací kombinací bezpečnostních revizí kódu, penetračních testů a auditů cílových aplikací.

Checkmarx
Pomáháme klientům implementovat pokročilá řešení od společnosti Checkmarx pro automatizovanou analýzu zdrojových kódů (CxSAST), analýzu kompozice aplikace (CxSCA) a školení vývojářů (Codebashing).

Školení a konzultační činnost
Provádíme školení bezpečného vývoje v oblasti procesní (SSDLC) i technické (bezpečný vývoj webových aplikací).​

Code review

  • ​Revize aplikací v mnoha populárních jazycích (Java, C#, PHP, …). 
  • Interní metodologie založená na zkušenostech z bezpečného vývoje i penetračních testů, opírající se o uznávané standardy projektu OWASP. 
  • Umožňuje odhalit vývojářské chyby, backdoory, chyby v návrhu, nedodržování best practices, použití slabé kryptografie a mnoho dalších zranitelných míst v aplikaci. 
  • Code review se skládá ze dvou hlavních analyzačních částí: 
    • ​Automatizovaná revize celého kódu pomocí open-source i proprietárních nástrojů a prověření výsledků bezpečnostním specialistou. 
    • Manuální revize celého kódu, či jeho dílčích částí vybraných klientem či bezpečnostním specialistou.
  • Nalezené zranitelnosti jsou podrobně popsány a jsou k nim na míru poskytnuta doporučení, která berou v potaz použitý technologický stack.​

Advanced white-box

  • Pokročilá forma white-box testování.
  • Kombinace penetračních testů, code review a volitelně i dalších disciplín. 
  • Dosahuje vyšší kvality i efektivity spojením sil etických hackerů s experty na bezpečný vývoj. 
  • Maximalizuje užitek z více bezpečnostních disciplín.

Checkmarx 

  • CxSAST – nástroj pro automatizovanou statickou analýzu zdrojových kódů, který je možné integrovat se širokým spektrem technologií. 
  • CxSCA – nástroj pro analýzu kompozice software, jehož cílem je nalezení zranitelných softwarových závislostí i licenčních konfliktů. 
  • ​Codebashing – platforma pro vzdělávání vývojářů v oblasti psaní bezpečného kódu. 

​Školení a konzultační činnost 

  • Školení technického i procesního charakteru. 
  • Konzultace v oblasti bezpečného vývoje.

Případová studie

Jeden z našich předních klientů nás požádal o penetrační testy nově vytvářené mobilní aplikace, která spravuje finanční informace uživatelů. Jelikož byla aplikace vyvíjena dodavatelskou firmou, byly jsme klientem kromě ověření bezpečnosti požádání také o prověření dodržení kritérií, které měla aplikace dle návrhu splňovat. 

Při penetračních testech jsme objevili několik velmi závažných zranitelností v oblasti autentizace a autorizace, díky kterým by mohl útočník přistupovat k profilovým a finančním informacím všech uživatelů produktu. Tato velmi kritická data by mohla být hackery využita například k phishingovým kampaním, mířeným na uživatele, či přímo v útocích na instituci. Pokud by tato situace nastala již za reálného provozu, hrozily by společnosti velké finanční ztráty, s nimi spojena ztráta klientské základny a poškození dobré pověsti. Protože však penetrační testy proběhly včas před publikací aplikace do reálného provozu, podařilo se tomuto závažnému incidentu zabránit. ​

Analýza návrhu a reálného stavu aplikace navíc poukázala na některé odchylky od smluvených požadavků, například v oblasti práce s dokumenty uživatele, jenž podléhá zákonu o GDPR, kterou dodavatel v aplikaci nedostatečně zabezpečil. Klient tak mohl v rámci smlouvy vyjednat urychlené bezplatné opravy, a ještě tak navýšit úroveň zabezpečení své mobilní aplikace.​

Přínosy

  • Při analýzách zdrojových kódů klademe důraz na manuální revize, které vedou k odhalení většího množství chyb než běžná automatizovaná řešení. 
  • Analýza zdrojového kódu odhalí skryté hrozby a slabá místa v aplikaci, která není snadné odhalit běžnými penetračními testy.
  • Po revizi kódu vám odevzdáme podrobný popis zranitelností s konkrétními doporučeními k nápravě.
Sdílejte

NEVÁHEJTE, KONTAKTUJTE NÁS.

Máte zájem o další informace nebo o nabídku pro vaši konkrétní situaci?

Odesláním formuláře prohlašuji, že jsem se seznámil s informacemi o zpracování osobních údajů v ARICOMA.