Анализ исходного кода и защищенности приложений

Одна из мер доверия, которая проверяется на ОУД4, — анализ уязвимостей, мера доверия AVA_VAN.3, определенная в ч. 3 ГОСТ Р 15408-3-2013.

В нее входят:

• проверка полноты документации и ее соответствия исходному коду;
• проверка продукта на уже известные уязвимости;
• анализ документации на предмет потенциальных архитектурных уязвимостей;
• анализ исходных кодов на предмет потенциальных 0-day;
• верификация всех найденных потенциальных уязвимостей на основе проверки вероятности их эксплуатируемости.

Предпосылки

• Необходимость выявлять уязвимости и признаки НДВ в исходном коде.
• Необходимость исправления кода на ранних стадиях разработки.
• Необходимость проведения оценки по ОУД4.

Наши услуги

В рамках статистического анализа (SAST — Static Application Security Testing) выполняются следующие проверки:

• Сигнатурная проверка.
• Проверка на подозрительные конструкции внутри программного кода.
• Ошибки типа «переполнение буфера», «не параметризованные запросы».
• Ошибки при программировании (например, отсутствие инициализации переменных и т.п.).

В рамках динамического анализа (DAST — Dynamic Application Security Testing) выполняются следующие проверки:

• Проверка на уязвимости в запущенных веб-приложениях и веб-сервисах путем моделирования полноценных сценариев атак.
• Проверка эксплуатации конкретной уязвимости.
• Ускорение реализации корректирующих мер, которое позволяет понять, какие проблемы необходимо решить в первую очередь и почему.

Эффект для бизнеса

	Снижение уровня рисков, реализующихся вследствие атак на приложения.
	Повышение общего уровня защищенности за счет анализа исходного кода и защищенности приложений.
	Снижение затрат на восстановление работоспособности взломанных бизнес-приложений.