Анализ кода ПО
Анализ кода программного обеспечения сайта представляет собой исследование, направленное на обнаружение уязвимостей информационной безопасности и не заявленных возможностей в исходных текстах. Комплексный аудит включает в себя динамический и статический анализ исходного кода ПО.
Информационная безопасность – как чеховское ружьё. Если в приложение закрались уязвимости, они обязательно «выстрелят», нанеся при этом финансовый и репутационный ущерб вашему бизнесу. Не дожидайтесь этого – устраните «лазейки» заранее. Идёт ли речь о случайных, но потенциально опасных ошибках, или о намеренных «закладках», первый шаг к спокойствию – это всегда комплексный аудит исходного кода
Статический анализ кода позволяет обнаружить:
- нарушение алгоритма пользования библиотекой;
- недокументированное НДВ или неопределённое поведение;
- переполнение буфера;
- сценарии, препятствующие кроссплатформенности;
- ошибки в повторяющемся коде;
- несоответствие форматных строк реальному типу параметров;
- неизменный параметр – признак изменившихся требований к программе;
В отличие от компилятора, который переводит текст программного обеспечения в набор цифровыхсимволов и проверяет очевидные ошибки, ручной анализ кода позволяет выполнить болеедетальное исследование. Но, кроме того, что ошибки нужно обнаружить, их ещё и необходимоправильно интерпретировать.И здесь ни один владелец сайта вряд ли сможет обойтись без профессионалов в областипрограммного обеспечения. Команда веб-мастеров Кодебай понимает важность проведениясвоевременного и грамотного аудита исходного кода. Готовы помочь вам проверить любой вашинтернет-проект и дать рекомендации по устранению ошибок.
Как мы выполняем аудит внешнего периметра
Постановка задач
Глубина и методы анализа, сроки выполнения и степень взаимодействия с командой разработчиков – утверждаем все нюансы. Согласованные пункты отражаем в договоре, который юридически гарантирует, что исходный код не будет передан третьим лицам.
Изучение архитектуры приложения
Нередко именно она становится источником потенциальных угроз. Проверяем исходный код на соответствие стандартам платформы и языка программирования, а также анализируем сторонние компоненты, например, подключаемые библиотеки.
Поиск опасных конструкций исходного кода
Применяем как специальное ПО для автоматического анализа исходников по шаблону, так и ручной анализ. Используем статические и динамические методы. Выявляем и систематизируем все уязвимости
Составление отчёта
Он содержит не только список потенциальных угроз и наши выводы о степени защищённости приложения, но и рекомендации по устранению каждой из«лазеек». В виде чёткой поэтапной инструкции.