ENDEUA

Анализ безопасности исходного кода

Получите исключительный уровень безопасности с помощью нашего автоматического и ручного анализа исходного кода ваших приложений, смарт-контрактов, сервисов и программных компонентов!

Вы никогда не достигнете такого уровня гарантий с помощью тестирования на проникновение, исключительно автоматической проверки кода или любых других мер безопасности. Эта услуга может быть предоставлена в виде отдельного проекта, в сочетании с тестированием на проникновение в режиме белого ящика, либо как часть сервисов Безопасности приложений или Оценки безопасности.

Ознакомьтесь с нашими бизнес-кейсами проектов по анализу кода.

Узнайте больше о целях сервиса, поддерживаемых языках и технологиях, методах, результатах, скачайте нашу презентацию с ценами (English) или

 
Эксперт по кибербезопасности H-X  

Цель этого анализа — оценка безопасности исходного кода ваших систем или приложений: проверка целостности и непротиворечивости вашего кода, принципов безопасного кодирования, поиск небезопасных или устаревших функций, скрытых логических бомб и ловушек, черных ходов, недокументированных функций, неоптимальных методов кодирования и 10 уязвимостей OWASP:

  • A1: 2017 - Инъекции
  • A2: 2017 - Нарушения аутентификации
  • A3: 2017 - Раскрытие конфиденциальных данных
  • A4: 2017 - Внешние экземпляры XML (XML External Entities, XXE)
  • A5: 2017 - Нарушения управления доступом
  • A6: 2017 - Ошибки конфигурирования безопасности
  • A7: 2017 - Межсайтовый скриптинг (Cross-Site Scripting, XSS)
  • A8: 2017 - Небезопасная десериализация
  • A9: 2017 - Использование компонентов с известными уязвимостями
  • A10: 2017 - Недостаточное журналирование и отслеживание событий
 

Мы поддерживаем следующие:

языки:

  • .Net/ASP.Net
  • Java EE (JBoss, Tomcat и т. д.)
  • Java Android
  • Objective-C/Swift iOS/MacOS
  • PHP
  • Javascript
  • Python
  • C/C++/Assembler
  • Solidity
  • Golang
  • Lua
  • ваш язык или платформа

технологии:

  • Контейнеры: Docker stack (Compose, Swarm, Machine, Registry), GCE Kubernetes, AWS ECS, Terraform, Vault
  • Фреймворки и технологии: NodeJS, Socket.IO, WebRTC, PhantomJS, YF framework, Yii, Laravel, Symfony components
  • Фронтэнд: Angular 2, AngularJS, ReactJS, JQuery, Less/Sass, Grunt/Gulp/Webpack, Bootstrap 3/4, etc.
  • Мобильная разработка (гибрид): Cordova, Ionic framework 1-4, NativeScript, ReactNative
  • Настольная разработка (гибрид): Electron, NWJS, ReactNative
  • RDBMS: MySQL / MariaDB / Percona, PostgreSQL, Oracle
  • NoSQL: Redis, CouchBase, MongoDB, Cassandra, GCloud Datastorage
  • Очереди: RabbitMQ, Kafka, Redis, Beanstackd, AWS SQS
  • Автоматизация / CI / CD: Jenkins, GitlabCI, TravisCI, CircleCI, Ansible, Bash scripting
  • Различные технологии виртуализации, ОС, SCM, серверы web / proxy / mail , облачные сервисы и сервисы выделенного хостинга, технологии мониторинга и резервного копирования, технологии блокчейн, платёжные шлюзы и т. д.
 

Для достижения целей аудиторы используют два метода:

  • SAST (Static Application Security Testing, статическое тестирование безопасности приложений), которое позволяет анализировать исходный код на наличие известных уязвимостей с помощью автоматизированных инструментов.
  • Ручная проверка и анализ исходного кода для того, чтобы выявить небезопасные и неоптимальные методы кодирования, скрытые логические бомбы и ловушки, бэкдоры и недокументированные функции.
 

Отчет по анализу безопасности исходного кода включает следующие разделы:

  • Резюме
  • Выявленные технические и функциональные уязвимости
  • Моделирование векторов атак, подтверждение концепции и эксплуатация уязвимостей
  • Оценка риска
  • Приоритетный список рекомендаций по устранению выявленных недостатков

Нажмите кнопку ниже, чтобы заказать анализ безопасности исходного кода вашего программного обеспечения.




Кто мы, что делаем и что предлагаем.

О тестах на проникновение.


Наши сертификаты:

(ISC)2
CISSP
ISACA
CISA
CISM
Offensive Security
OSCP
PECB
LPTP
Microsoft
Qualys
BSI