Škodlivý kód
- Do kódu aplikace se mohou dostat škodlivé části kódu, jako jsou např. backdoors, které dokážou způsobit velké škody.
- Checklist pomáhá s ověřením, zda se v aplikaci nevyskytuje škodlivý kód, jako jsou backdoors, nežádoucí funkce a další.
Architektura
- Ověřte použití systému kontroly zdrojového kódu. Takový systém by měl mít kontrolu přístupu a identifikovatelné uživatele, aby bylo možné sledovat všechny změny.
Obecný checklist
-
Mělo by se zajistit, že kód neobsahuje žádný škodlivý kód nebo nežádoucí funkce.
-
Ověřte použití nástroje pro analýzu kódu, který dokáže odhalit potenciálně škodlivý kód nebo časové bomby.
-
Ověřte, zda zdrojový kód aplikace a knihoven třetích stran neobsahuje neautorizované funkce nebo časové a logické bomby nebo jiné logické chyby, easter eggs a nežádoucí funkce.
-
Ověřte, zda aplikace nevyžaduje zbytečné nebo nadměrné údaje nebo oprávnění.
-
Ověřte, zda aplikace neobsahuje zadní vrátka (back doors), pevně zakódované credentials, nedokumentované binární bloby, nezabezpečené funkce pro ladění nebo zastaralé a skryté funkce.
-
Ověřte získávání aktualizací zabezpečenými kanály v případě funkce automatické aktualizace.
- Aktualizace by měly být digitálně podepsány.
-
Ověřte použití ochrany integrity (podepisování kódu). Aplikace nesmí načítat a spouštět kód z nedůvěryhodných zdrojů.
-
Ověřte ochranu aplikace před převzetím subdomény (subdomain takeover), pokud se aplikace spoléhá na DNS záznamy jako je např. expirovaná platnost.