Forráskód vizsgálat

A Whiteshield kódfelülvizsgálati szolgáltatást nyújt ügyfelei számára, hogy már a fejlesztés korai szakaszában észlelhessék és kijavíthassák a webes és mobilalkalmazásokban rejlő sérülékenységeket. Tapasztalataink szerint a legtöbb biztonsági hiba oka az, hogy a fejlesztők vagy nem ismerik a biztonságos kódolási irányelveket, vagy nem alkalmazzák azokat következetesen. A kódfelülvizsgálat lehetővé teszi, hogy ügyfeleink még időben, egyszerűen és gyorsan javítsák a kritikus biztonsági hibákat, mielőtt azokból komolyabb károk keletkeznének. Más cégekkel ellentétben nem kizárólag automatikus eszközökre támaszkodunk, mivel ezek nem képesek minden biztonsági problémát azonosítani. Szakértőink manuálisan is átvizsgálják a forráskódot, hogy a rejtettebb, logikai vagy kontextuális hibák se maradjanak észrevétlenek.

Biztonságos kódelemzés – még azelőtt, hogy a támadók hibákat találnának

 

A web- és mobilalkalmazások penetrációs tesztelése hatékony módszer az aktuális sérülékenységek feltárására és azok lehetséges hatásainak elemzésére. Egyes esetekben ez önmagában is megfelelő lehet, azonban a legmagasabb szintű biztonsági garanciához gyakran szükség van forráskód-ellenőrzésre is.

Ha a tesztelés csak az alkalmazás nyilvános megjelenése után történik meg, akkor az azonosított sebezhetőségeket akár már ki is használhatták rosszindulatú szereplők. A biztonságos kódellenőrzés lehetővé teszi, hogy a hibák még az alkalmazás élesítése előtt feltárásra kerüljenek – még mielőtt támadók felfedeznék azokat.

Éles környezetben működő alkalmazások esetében a penetrációs tesztelés és a forráskód-ellenőrzés együttes alkalmazása biztosítja a legátfogóbb képet a web- vagy mobilalkalmazás biztonsági állapotáról.

 

Hogyan zajlik a kódellenőrzés?

 

 A kritikus funkciókat megvalósító forráskód manuálisan kerül átvizsgálásra, kiemelt figyelmet fordítva azokra a részekre, amelyek statisztikailag a legnagyobb biztonsági kockázatot hordozzák. Célunk, hogy feltárjuk az összes hibát és logikai következetlenséget a következő területeken:

  •  hitelesítés és jogosultságkezelés

  • munkamenet-kezelés (session management)

  • bemeneti adatellenőrzés (input validation)

  • hibatűrés és kivételkezelés

  • titkosítás és biztonságos konfigurációk

A Whiteshield az OWASP metodológiát alkalmazza, amely iparági szabványként szolgál a web- és mobilalkalmazások biztonsági megfelelőségének ellenőrzéséhez.

 

Melyik fejlesztési fázisban érdemes elvégezni?

 

Minél korábban, annál jobb. A fejlesztés korai szakaszában feltárt hibák javítása gyorsabb, olcsóbb és kevesebb erőforrást igényel. A kódellenőrzés ugyanakkor bármelyik fázisban elvégezhető: lehet végső ellenőrzés közvetlenül az indulás előtt, vagy akár már évek óta működő alkalmazás auditálása is. Amit határozottan javaslunk: a forráskód-ellenőrzés legyen rendszeres része a fejlesztési ciklusnak.

 

Miért a Whiteshield?

 

Szakértőink több éves tapasztalattal rendelkeznek alkalmazásfejlesztés és biztonságos kódellenőrzés terén egyaránt. Tevékenységünk kiterjed Android és iOS mobilalkalmazások forráskódjának átvilágítására, ugyanazokat a metodikákat alkalmazva, mint a webes környezetekben.

 Kombináljuk az automatizált és manuális elemzési technikákat, hogy azonosítsuk és javítási javaslatokkal egészítsük ki azokat a kódhibákat, amelyek később súlyos biztonsági problémákhoz vezethetnek.