Аналіз безпеки вихідного коду
Отримайте винятковий рівень безпеки за допомогою нашого автоматичного і ручного аналізу вихідного коду ваших додатків, смарт-контрактів, сервісів і програмних компонентів!
Ви ніколи не досягнете такого рівня гарантій за допомогою тестування на проникнення, виключно автоматичної перевірки коду або будь-яких інших заходів безпеки. Ця послуга може бути надана у вигляді окремого проекту, у поєднанні з тестуванням на проникнення в режимі білого ящика, або як частина сервісів Безпеки додатків або Оцінки безпеки.
Ознайомтеся з нашими бізнес-кейсами проектів з аналізу коду.

Мета цього аналізу — оцінка безпеки вихідних кодів систем або додатків: перевірка цілісності та несуперечності вашого коду, принципів безпечного кодування, пошук небезпечних або застарілих функцій, прихованих логічних бомб і пасток, чорних ходів, недокументованих функцій, неоптимальних методів кодування та 10 вразливостей OWASP:
- A1: 2017 - Ін'єкції
- A2: 2017 - Порушення аутентифікації
- A3: 2017 - Розкриття конфіденційних даних
- A4: 2017 - Зовнішні екземпляри XML (XML External Entities, XXE)
- A5: 2017 - Порушення управління доступом
- A6: 2017 - Помилки конфігурації безпеки
- A7: 2017 - Міжсайтовий скриптинг (Cross-Site Scripting, XSS)
- A8: 2017 - Небезпечна десеріалізація
- A9: 2017 - Використання компонентів з відомими вразливостями
- A10: 2017 - Недостатнє журналювання та відстеження подій
Ми підтримуємо наступні:
мови:
- .Net/ASP.Net
- Java EE (JBoss, Tomcat и т. д.)
- Java/Kotlin Android
- Objective-C/Swift iOS/MacOS
- PHP
- Javascript
- Python
- C/C++/Assembler
- Solidity
- Golang
- Lua
- ваша мова або платформа
технології:
- Контейнери: Docker stack (Compose, Swarm, Machine, Registry), GCE Kubernetes, AWS ECS, Terraform, Vault
- Фреймворки та технології: NodeJS, Socket.IO, WebRTC, PhantomJS, YF framework, Yii, Laravel, Symfony components
- Фронтенд: Angular 2, AngularJS, ReactJS, JQuery, Less/Sass, Grunt/Gulp/Webpack, Bootstrap 3/4, etc.
- Мобільна розробка (гібрид): Cordova, Ionic framework 1-4, NativeScript, ReactNative
- Настільна розробка (гібрид): Electron, NWJS, ReactNative
- RDBMS: MySQL / MariaDB / Percona, PostgreSQL, Oracle
- NoSQL: Redis, CouchBase, MongoDB, Cassandra, GCloud Datastorage
- Черги: RabbitMQ, Kafka, Redis, Beanstackd, AWS SQS
- Автоматизація / CI / CD: Jenkins, GitlabCI, TravisCI, CircleCI, Ansible, Bash scripting
- Різні технології віртуалізації, ОС, SCM, сервери web / proxy / mail, хмарні сервіси та сервіси виділеного хостингу, технології моніторингу та резервного копіювання, технології блокчейн, платіжні шлюзи, тощо.
Для досягнення цілей аудитори використовують два методи:
- SAST (Static Application Security Testing, статичне тестування безпеки додатків), яке дозволяє аналізувати вихідний код на наявність відомих уразливостей за допомогою автоматизованих інструментів.
- Ручна перевірка та аналіз вихідного коду для того, щоб виявити небезпечні та неоптимальні методи кодування, приховані логічні бомби та пастки, бекдори та недокументовані функції.
Звіт з аналізу безпеки вихідного коду включає наступні розділи:
- Резюме
- Технічні та функціональні уразливості, що було виявлено
- Моделювання векторів атак, підтвердження концепції та експлуатація уразливостей
- Оцінка ризику
- Пріоритетний список рекомендацій щодо усунення виявлених недоліків
Натисніть кнопку нижче, щоб замовити аналіз безпеки вихідного коду вашого програмного забезпечення.
Хто ми, що робимо та що пропонуємо.