ENDERU

Аналіз безпеки вихідного коду

Отримайте винятковий рівень безпеки за допомогою нашого автоматичного і ручного аналізу вихідного коду ваших додатків, смарт-контрактів, сервісів і програмних компонентів!

Ви ніколи не досягнете такого рівня гарантій за допомогою тестування на проникнення, виключно автоматичної перевірки коду або будь-яких інших заходів безпеки. Ця послуга може бути надана у вигляді окремого проекту, у поєднанні з тестуванням на проникнення в режимі білого ящика, або як частина сервісів Безпеки додатків або Оцінки безпеки.

Ознайомтеся з нашими бізнес-кейсами проектів з аналізу коду.

Дізнайтеся більше про цілі сервису, підтримку мов і технологій, методи, результати, завантажуйте нашу загальну комерційну пропозицію (English) або

 
Експерт з кібербезпеки H-X  

Мета цього аналізу — оцінка безпеки вихідних кодів систем або додатків: перевірка цілісності та несуперечності вашого коду, принципів безпечного кодування, пошук небезпечних або застарілих функцій, прихованих логічних бомб і пасток, чорних ходів, недокументованих функцій, неоптимальних методів кодування та 10 вразливостей OWASP:

  • A1: 2017 - Ін'єкції
  • A2: 2017 - Порушення аутентифікації
  • A3: 2017 - Розкриття конфіденційних даних
  • A4: 2017 - Зовнішні екземпляри XML (XML External Entities, XXE)
  • A5: 2017 - Порушення управління доступом
  • A6: 2017 - Помилки конфігурації безпеки
  • A7: 2017 - Міжсайтовий скриптинг (Cross-Site Scripting, XSS)
  • A8: 2017 - Небезпечна десеріалізація
  • A9: 2017 - Використання компонентів з відомими вразливостями
  • A10: 2017 - Недостатнє журналювання та відстеження подій
 

Ми підтримуємо наступні:

мови:

  • .Net/ASP.Net
  • Java EE (JBoss, Tomcat и т. д.)
  • Java Android
  • Objective-C/Swift iOS/MacOS
  • PHP
  • Javascript
  • Python
  • C/C++/Assembler
  • Solidity
  • Golang
  • Lua
  • ваша мова або платформа

технології:

  • Контейнери: Docker stack (Compose, Swarm, Machine, Registry), GCE Kubernetes, AWS ECS, Terraform, Vault
  • Фреймворки та технології: NodeJS, Socket.IO, WebRTC, PhantomJS, YF framework, Yii, Laravel, Symfony components
  • Фронтенд: Angular 2, AngularJS, ReactJS, JQuery, Less/Sass, Grunt/Gulp/Webpack, Bootstrap 3/4, etc.
  • Мобільна розробка (гібрид): Cordova, Ionic framework 1-4, NativeScript, ReactNative
  • Настільна розробка (гібрид): Electron, NWJS, ReactNative
  • RDBMS: MySQL / MariaDB / Percona, PostgreSQL, Oracle
  • NoSQL: Redis, CouchBase, MongoDB, Cassandra, GCloud Datastorage
  • Черги: RabbitMQ, Kafka, Redis, Beanstackd, AWS SQS
  • Автоматизація / CI / CD: Jenkins, GitlabCI, TravisCI, CircleCI, Ansible, Bash scripting
  • Різні технології віртуалізації, ОС, SCM, сервери web / proxy / mail, хмарні сервіси та сервіси виділеного хостингу, технології моніторингу та резервного копіювання, технології блокчейн, платіжні шлюзи, тощо.
 

Для досягнення цілей аудитори використовують два методи:

  • SAST (Static Application Security Testing, статичне тестування безпеки додатків), яке дозволяє аналізувати вихідний код на наявність відомих уразливостей за допомогою автоматизованих інструментів.
  • Ручна перевірка та аналіз вихідного коду для того, щоб виявити небезпечні та неоптимальні методи кодування, приховані логічні бомби та пастки, бекдори та недокументовані функції.
 

Звіт з аналізу безпеки вихідного коду включає наступні розділи:

  • Резюме
  • Технічні та функціональні уразливості, що було виявлено
  • Моделювання векторів атак, підтвердження концепції та експлуатація уразливостей
  • Оцінка ризику
  • Пріоритетний список рекомендацій щодо усунення виявлених недоліків

Натисніть кнопку нижче, щоб замовити аналіз безпеки вихідного коду вашого програмного забезпечення.




Хто ми, що робимо та що пропонуємо.

Про тести на проникнення.


Наші сертифікати:

(ISC)2
CISSP
Offensive Security
OSCP
ISACA
CISA
CISM
Microsoft
PECB
LPTP
Qualys
PECB
LPTP
BSI
LPTP
BSI