Анализ исходного кода и защищенности приложений выполняется для выявления недостатков ПО (потенциально уязвимых конструкций) в исходном коде. Эта процедура проводится также в отношении компонентов сторонних разработчиков ПО, для которых доступен исходный код. Организации снижают затраты на восстановление работоспособности взломанных бизнес-приложений путем минимизации данного риска за счет анализа исходного кода и защищенности приложений.
Одна из мер доверия, которая проверяется на ОУД4, — анализ уязвимостей, мера доверия AVA_VAN.3, определенная в ч. 3 ГОСТ Р 15408-3-2013.
В нее входят:
проверка полноты документации и ее соответствия исходному коду;
проверка продукта на уже известные уязвимости;
анализ документации на предмет потенциальных архитектурных уязвимостей;
анализ исходных кодов на предмет потенциальных 0-day;
верификация всех найденных потенциальных уязвимостей на основе проверки вероятности их эксплуатируемости.
Предпосылки
Необходимость выявлять уязвимости и признаки НДВ в исходном коде.
Необходимость исправления кода на ранних стадиях разработки.
Необходимость проведения оценки по ОУД4.
Наши услуги
В рамках статистического анализа (SAST — Static Application Security Testing) выполняются следующие проверки:
Сигнатурная проверка.
Проверка на подозрительные конструкции внутри программного кода.
Ошибки типа «переполнение буфера», «не параметризованные запросы».
Ошибки при программировании (например, отсутствие инициализации переменных и т.п.).
В рамках динамического анализа (DAST — Dynamic Application Security Testing) выполняются следующие проверки:
Проверка на уязвимости в запущенных веб-приложениях и веб-сервисах путем моделирования полноценных сценариев атак.
Проверка эксплуатации конкретной уязвимости.
Ускорение реализации корректирующих мер, которое позволяет понять, какие проблемы необходимо решить в первую очередь и почему.
Эффект для бизнеса
Снижение уровня рисков, реализующихся вследствие атак на приложения.
Повышение общего уровня защищенности за счет анализа исходного кода и защищенности приложений.
Снижение затрат на восстановление работоспособности взломанных бизнес-приложений.
Если вам необходима консультация эксперта, позвоните или напишите нам.
Сайт IBS использует cookie. Это дает нам возможность следить за корректной работой сайта, а также анализировать данные, чтобы развивать наши продукты и сервисы. Посещая сайт, вы соглашаетесь с обработкой ваших персональных данных. В случае несогласия вам следует покинуть его.