Over 10 years we help companies reach their financial and branding goals. Engitech is a values-driven technology agency dedicated.

Gallery

Contacts

411 University St, Seattle, USA

engitech@oceanthemes.net

+1 -800-456-478-23

// FORRÁSKÓDAUDIT

Eseti biztonsági forráskód elemzés

Arról már mindenki hallott, hogy az alkalmazások biztonsága is fontos, és nem csak az infrastruktúránk biztonságossá tétele. Egyes szakértők szerint a sikeres hacker támadások 75%-ában az alkalmazások sérülékenysége miatt lehetett feltörni a rendszert. Ha ezt alapnak vesszük, akkor az egyik legfontosabb feladatunknak kell tekinteni az alkalmazásaink védelmét. A gond ott kezdődik, hogy manapság rohamtempóban történik az alkalmazások fejlesztése (lásd az alábbi ábrát), a ”hagyományos”, csak az élesindulás előtti penetrációs teszt elvégzése már rég elavult megközelítés, alacsony hatékonyságú és emiatt borzasztóan költséges is. Egy hagyományos behatolás tesztelés (Penetration test) utáni hibajavítási költségekhez képest, több mint 90% -át a javítási költségeknek meg lehet spórolni egy fejlesztés alatti biztonsági forráskód elemzéssel. Az általunk nyújtott Biztonsági forráskódelemző Szolgáltatás (SAST), ahogy a neve is mutatja, a lehető legkorábbi fejlesztési fázistól alkalmazható a még nyers, lefordítatlan forráskódon. Checkmarx vizsgázott szakértőinkkel vállalunk eseti biztonsági forráskódelemző szolgáltatást is, amely vizsgálat után egy részletes jelentést készítünk a találati eredményekről. A vizsgálat eredmény terméke egy PDF formátumú sérülékenységi riport (angolul) magyar nyelvű vezetői összefoglalóval, amely az alábbi információkat tartalmazza:
  • tartalmazza a legsérülékenyebb forrásfájlokat,
  • a forráskódban előforduló leggyakoribb sérülékenységi kategóriákat,
  • a forráskódban talált sérülékenységek rövid leírását és részleteit (kockázat, érintett fájlok, kódrészletek a sérülékenységből, érintett sor és változó),
  • az adott sérülékenységhez kapcsolódó megjegyzéseket, példákat, technikai részleteket a sérülékenységről, kapcsolódó CVS számokat,
  • az adott sérülékenységre vonatkozó lehetséges javításokat és kockázatcsökkentő intézkedéseket,
  • további referenciák arra, hogy hol lehet tovább olvasni az adott sérülékenységről,
  • kockázatot, okokat a sérülékenység előfordulására, általános javítási ajánlásokat illetve példákat az adott sérülékenységi fajtára.
Az egyes sérülékenységek besorolása a Common Weakness Scoring System (CWSS) módszer alapján történik három kategóriában (magas, közepes és alacsony):
  • A magas kategóriába sorolt sérülékenységek viszonylag könnyen, akár távolról is kihasználhatók és a célzott rendszerre jelentős hatással bírnak. Például a rendszerhez jogosultság nélkül is hozzáférést lehet szerezni, az adatokhoz hozzá lehet férni.
  • A közepes kategóriába sorolt sérülékenységek potenciális veszélyt jelentenek, viszont nehezebben kivitelezhetőek a kihasználásuk és csak korlátozott a hatásuk. Szükség lehet pl. egy authentikált hozzáférésre.
  • Az alacsony kategóriába sorolt sérülékenységek általában olyan programozás-technikai problémákat jelentenek, amelyek bizonyos esetekben, veszélyt jelenthetnek a rendszer bizalmasságára és sértetlenségére.
Eseti biztonsági forráskódelemzés Riport 
Forráskód elemzés riport