Анализ кода заказных приложений
Продукт снят с продаж.
Для получения консультации по подбору аналогичного продукта обратитесь через онлайн-консультант, форму обратной связи или отправьте письмо по электронной почте на адрес info@datasystem.ru
При разработке прикладных систем собственными силами или на заказ, внимание разработчиков в первую очередь сосредоточенно на реализации заданного функционала. Вопросам информационной безопасности, в ряде случаев, внимание уделяется по остаточному принципу. Как результат, полученные приложения обладают крайне низкой защищенностью от несанкционированного доступа.
Приложения заказной разработки, часто, обрабатывают конфиденциальную информацию, автоматизируют критичные бизнес-процессы. Отсутствие необходимых механизмов ИБ в приложении, некорректно написанный код или даже специальные "закладки", оставленные разработчиками могут стать причиной инцидентов, которые принесут компании значительный ущерб.
В рамках предлагаемой услуги осуществляется независимый анализ исходных кодов приложений собственной разработки Заказчика или заказных разработок на предмет выявления "закладок", устойчивости приложения по отношению к известным методам несанкционированного доступа.
Отличительной особенностью компании Positive Technologies является умение работать с большими объемами исходного кода (десятки мегабайт), умение работать с кодом, созданным с использованием различных технологий и высокая квалификация и значительный опыт экспертов, выполняющих работу.
При проведении работ предпочтение отдается ручным методам, однако, для повышения качества сделанного анализа, осуществляется дополнительная проверка автоматизированными средствами.
В общем случае порядок проведения работ следующий:
- Оценка объема работ (размер исходного кода, используемые языки программирования, используемые технологии разработки). Может осуществляться как на основе информации, предоставляемой Заказчиком, так и посредством выезда эксперта на территорию Заказчика для экспресс-анализа исходного кода.
- Проведение анализа исходного кода вручную. Выявление уязвимых участков кода.
- Проведение анализа исходного кода с использованием автоматизированных средств. Сопоставление результатов такого анализа с ручным.
- Формирование общих выводов и рекомендаций по доработке исходного кода.
Результатом работы будет являться отчет, содержащий:
- Перечень всех выявленных уязвимостей с описанием проблем, которые могут возникнуть при эксплуатации этих уязвимостей.
- Рекомендации по доработке исходного кода по каждой уязвимости (в т.ч. с примерами корректного кода).
- Общие выводы о качестве исходного кода и его стойкости к известным методам несанкционированного доступа.