Анализ безопасности исходного кода
Получите исключительный уровень безопасности с помощью нашего автоматического и ручного анализа исходного кода ваших приложений, смарт-контрактов, сервисов и программных компонентов!
Вы никогда не достигнете такого уровня гарантий с помощью тестирования на проникновение, исключительно автоматической проверки кода или любых других мер безопасности. Эта услуга может быть предоставлена в виде отдельного проекта, в сочетании с тестированием на проникновение в режиме белого ящика, либо как часть сервисов Безопасности приложений или Оценки безопасности.
Ознакомьтесь с нашими бизнес-кейсами проектов по анализу кода.

Цель этого анализа — оценка безопасности исходного кода ваших систем или приложений: проверка целостности и непротиворечивости вашего кода, принципов безопасного кодирования, поиск небезопасных или устаревших функций, скрытых логических бомб и ловушек, черных ходов, недокументированных функций, неоптимальных методов кодирования и 10 уязвимостей OWASP:
- A1: 2017 - Инъекции
- A2: 2017 - Нарушения аутентификации
- A3: 2017 - Раскрытие конфиденциальных данных
- A4: 2017 - Внешние экземпляры XML (XML External Entities, XXE)
- A5: 2017 - Нарушения управления доступом
- A6: 2017 - Ошибки конфигурирования безопасности
- A7: 2017 - Межсайтовый скриптинг (Cross-Site Scripting, XSS)
- A8: 2017 - Небезопасная десериализация
- A9: 2017 - Использование компонентов с известными уязвимостями
- A10: 2017 - Недостаточное журналирование и отслеживание событий
Мы поддерживаем следующие:
языки:
- .Net/ASP.Net
- Java EE (JBoss, Tomcat и т. д.)
- Java/Kotlin Android
- Objective-C/Swift iOS/MacOS
- PHP
- Javascript
- Python
- C/C++/Assembler
- Solidity
- Golang
- Lua
- ваш язык или платформа
технологии:
- Контейнеры: Docker stack (Compose, Swarm, Machine, Registry), GCE Kubernetes, AWS ECS, Terraform, Vault
- Фреймворки и технологии: NodeJS, Socket.IO, WebRTC, PhantomJS, YF framework, Yii, Laravel, Symfony components
- Фронтэнд: Angular 2, AngularJS, ReactJS, JQuery, Less/Sass, Grunt/Gulp/Webpack, Bootstrap 3/4, etc.
- Мобильная разработка (гибрид): Cordova, Ionic framework 1-4, NativeScript, ReactNative
- Настольная разработка (гибрид): Electron, NWJS, ReactNative
- RDBMS: MySQL / MariaDB / Percona, PostgreSQL, Oracle
- NoSQL: Redis, CouchBase, MongoDB, Cassandra, GCloud Datastorage
- Очереди: RabbitMQ, Kafka, Redis, Beanstackd, AWS SQS
- Автоматизация / CI / CD: Jenkins, GitlabCI, TravisCI, CircleCI, Ansible, Bash scripting
- Различные технологии виртуализации, ОС, SCM, серверы web / proxy / mail , облачные сервисы и сервисы выделенного хостинга, технологии мониторинга и резервного копирования, технологии блокчейн, платёжные шлюзы и т. д.
Для достижения целей аудиторы используют два метода:
- SAST (Static Application Security Testing, статическое тестирование безопасности приложений), которое позволяет анализировать исходный код на наличие известных уязвимостей с помощью автоматизированных инструментов.
- Ручная проверка и анализ исходного кода для того, чтобы выявить небезопасные и неоптимальные методы кодирования, скрытые логические бомбы и ловушки, бэкдоры и недокументированные функции.
Отчет по анализу безопасности исходного кода включает следующие разделы:
- Резюме
- Выявленные технические и функциональные уязвимости
- Моделирование векторов атак, подтверждение концепции и эксплуатация уязвимостей
- Оценка риска
- Приоритетный список рекомендаций по устранению выявленных недостатков
Нажмите кнопку ниже, чтобы заказать анализ безопасности исходного кода вашего программного обеспечения.
Кто мы, что делаем и что предлагаем.