Forráskód vizsgálat

Tapasztalataink szerint a legtöbb biztonsági hiba oka az, hogy a fejlesztők vagy nem ismerik a biztonságos kódolási irányelveket, vagy nem alkalmazzák azokat következetesen. A kódfelülvizsgálat lehetővé teszi, hogy ügyfeleink még időben, egyszerűen és gyorsan javítsák a kritikus biztonsági hibákat, mielőtt azokból komolyabb károk keletkeznének. Más cégekkel ellentétben nem kizárólag automatikus eszközökre támaszkodunk, mivel ezek nem képesek minden biztonsági problémát azonosítani. Szakértőink manuálisan is átvizsgálják a forráskódot, hogy a rejtettebb, logikai vagy kontextuális hibák se maradjanak észrevétlenek.

A web- és mobilalkalmazások penetrációs tesztelése hatékony módszer az aktuális sérülékenységek feltárására és azok lehetséges hatásainak elemzésére. Egyes esetekben ez önmagában is megfelelő lehet, azonban a legmagasabb szintű biztonsági garanciához gyakran szükség van forráskód-ellenőrzésre is.

Ha a tesztelés csak az alkalmazás nyilvános megjelenése után történik meg, akkor az azonosított sebezhetőségeket akár már ki is használhatták rosszindulatú szereplők. A biztonságos kódellenőrzés lehetővé teszi, hogy a hibák még az alkalmazás élesítése előtt feltárásra kerüljenek – még mielőtt támadók felfedeznék azokat.

Éles környezetben működő alkalmazások esetében a penetrációs tesztelés és a forráskód-ellenőrzés együttes alkalmazása biztosítja a legátfogóbb képet a web- vagy mobilalkalmazás biztonsági állapotáról.

 A kritikus funkciókat megvalósító forráskód manuálisan kerül átvizsgálásra, kiemelt figyelmet fordítva azokra a részekre, amelyek statisztikailag a legnagyobb biztonsági kockázatot hordozzák. Célunk, hogy feltárjuk az összes hibát és logikai következetlenséget a következő területeken:

• •  hitelesítés és jogosultságkezelés

  • munkamenet-kezelés (session management)

  • bemeneti adatellenőrzés (input validation)

  • hibatűrés és kivételkezelés

  • titkosítás és biztonságos konfigurációk

A Whiteshield az OWASP metodológiát alkalmazza, amely iparági szabványként szolgál a web- és mobilalkalmazások biztonsági megfelelőségének ellenőrzéséhez.

Minél korábban, annál jobb. A fejlesztés korai szakaszában feltárt hibák javítása gyorsabb, olcsóbb és kevesebb erőforrást igényel. A kódellenőrzés ugyanakkor bármelyik fázisban elvégezhető: lehet végső ellenőrzés közvetlenül az indulás előtt, vagy akár már évek óta működő alkalmazás auditálása is. Amit határozottan javaslunk: a forráskód-ellenőrzés legyen rendszeres része a fejlesztési ciklusnak.

Szakértőink több éves tapasztalattal rendelkeznek alkalmazásfejlesztés és biztonságos kódellenőrzés terén egyaránt. Tevékenységünk kiterjed Android és iOS mobilalkalmazások forráskódjának átvilágítására, ugyanazokat a metodikákat alkalmazva, mint a webes környezetekben.

 Kombináljuk az automatizált és manuális elemzési technikákat, hogy azonosítsuk és javítási javaslatokkal egészítsük ki azokat a kódhibákat, amelyek később súlyos biztonsági problémákhoz vezethetnek.