Аудит безопасности обновлений исходного кода

Что представляет собой аудит изменений исходного кода?

При разработке программного обеспечения в исходном коде могут быть реализованы различные слабости, которые в итоге приводят к различным уязвимостям.

Это могут быть:

• Неправильная реализация контроля доступа
• Неправильное управление ресурсами
• Неправильная проверка и обработка исключений
• Ненадлежащее соблюдение стандартов кодирования

Выявление и устранение слабостей должно производиться на всех этапах жизненного цикла ПО.

И чем на более ранних этапах оно осуществляется, тем требует меньше ресурсов для устранения.

Типы аудитов безопасности кода

Для решения задачи выявления слабостей программного обеспечения проводятся статический и динамический анализ исходного кода.

1. Статический анализ подразумевает сканирование кода без его выполнения
2. Динамический – анализ исходного кода при его исполнении

При обновлении исходного кода ПО в результате ошибок разработчика могут возникнуть дополнительные уязвимости, которых ранее не было в предыдущих версиях.

Поэтому выпускаемые обновления ПО также требуют проведения аудита безопасности изменений (обновлений) исходного кода.

Кому нужен аудит безопасности исходного кода

Компаниям-разработчикам, на которые распространяются требования по аудиту безопасности исходного кода, а также организации, которые хотят убедиться в безопасности выпускаемого или используемого программного обеспечения.

Этапы проведения анализа безопасности изменений исходного кода

1. Получение исходных кодов для анализа
2. Получение доступов к испытательному стенду Заказчика, либо разворачивание испытательного стенда на площадке компании RTM Group
3. Проведение статического анализа кода
4. Проведение динамического анализа кода
5. Разработка отчета с описанием обнаруженных слабостей и рекомендациями по устранению

В результате проведения аудита безопасности изменений (обновлений) исходного кода заказчик получает перечень обнаруженных слабостей исходного кода и общие рекомендации по их устранению.

Почему RTM Group

• Большой опыт наших экспертов по проведению аудита безопасности исходного кода;
• Гибкое ценообразование при заключении договора на периодическое проведение работ.

Мы обладаем лицензиями:

• Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
• Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
• Лицензия ФСБ России на работу со средствами криптозащиты