Analiza kodu źródłowego aplikacji jest realizowana w oparciu o najlepsze praktyki w obszarze bezpiecznego wytwarzania oprogramowania oraz zalecenia organizacji OWASP (standard ASVS oraz MASVS).
Analiza kodu źródłowego może być wspierana przez wyniki przeprowadzonych testów penetracyjnych.
W ramach naszych prac zrealizujemy statyczną analizę kodu źródłowego, która będzie dotyczyła najistotniejszych funkcjonalności z punktu widzenia bezpieczeństwa, m.in.:
- Obsługa wejścia i wyjścia z aplikacji
- Walidacja danych
- Uwierzytelnianie i autoryzacja
- Mechanizmy kryptograficzne
- Zarządzanie pamięcią
- Obsługa błędów
- Odwołania do systemu operacyjnego
- Logowanie
Zgodnie z metodyką nasze przeglądy kodu są wykonywane w następujących krokach:
- Przeprowadzenie wywiadu z architektami aplikacji lub wiodącymi programistami w celu uzyskania informacji o jej funkcjach biznesowych oraz o jej strukturze wewnętrznej
- Oczyszczenie kodu źródłowego z kodów testowych oraz nieużywanych fragmentów kodu, a także oznaczenie kodów bibliotek zewnętrznych
- Przeprowadzenie statycznej analizy kodu z użyciem narzędzi automatycznych w celu zidentyfikowania podatności wykrywanych tymi narzędziami
- Manualna weryfikacja wyników uzyskanych z narzędzi automatycznych
- Uzupełnienie analizy za pomocą manualnych kontroli na podstawie list kontrolnych opisujących różne typy podatności adekwatne dla stosowanego języka programowania
- Przedyskutowanie wyników prac z architektami aplikacji lub wiodącymi programistami w celu określenie poziomu ryzyka podatności i podejścia zespołu programistycznego
- Przygotowanie raportu zawierającego listę zidentyfikowanych podatności wraz z rekomendacjami ich usunięcia
W raporcie znajdziesz informacje na temat najpopularniejszych ataków na polskie organizacje w 2021 roku, a było ich sporo, bo w ciągu ostatnich 6 miesięcy organizacje w Polsce były atakowane średnio 625 razy w tygodniu.