Přeskočit na hlavní obsah

Bezpečnostní audit a white-box pentest

Vývoj webů, API a aplikací není jen o byznys požadavcích. Jedním z parametrů kvality software je taky bezpečnost. Jednou z možností, jak zvýšit bezpečnost svých aplikací je udělat white-box pentest nebo bezpečnostní audit. Kdy jste naposledy nechali otestovat svoji aplikaci nebo související SDLC procesy?

Zvyšte úroveň zabezpečení a kvality software

Během vývoje a provozování aplikace nejspíš řešíte některý z těchto problémů.

  • Stále hlásíte a opravujete chyby.
  • Trvá vám dny nebo týdny nasadit novou verzi.
  • Používáte staré technologie nebo udržujete starý systém.
  • Nevíte, jestli jste compliant s legislativou.
  • Stále se vás někdo ptá, jak používat API / aplikaci.
  • ...

Nebo máte obavy týkající se vaší aplikace a dat, která se v ní ukládají.

  • Nehackne nám ji někdo?
  • Nemůže dojít k úniku dat?
  • Funguje autorizační mechanismus správně?
  • Nemůže se někdo zmocnit identity uživatele?
  • Nemůže dojít k logickým chybám?
  • ...

Otestuju vaše aplikace a zjistím, jestli je nejen bezpečná, ale taky kvalitní.

Odpovězte na pár otázek a nechte si zdarma automaticky vyhodnotit, jak na tom s bezpečností vašich aplikací doopravdy jste.

Otestuju vaše aplikace a procesy

Podrobte vaše aplikace white-box pentestu. Pokud bezpečnost berete opravdu vážně, pustím se s vámi do podrobného bezpečnostního auditu (podle OWASP SAMM). Ten ověří bezpečnost v rámci celého životního cyklu vývoje software (SDLC).

White-box pentest je technika testování, kdy mám k dispozici přístup např. ke zdrojovému kódu aplikace. Díky tomu vám dokážu aplikaci otestovat nejen z pozice hackera, ale dokážu zjistit i základní procesy v rámci vývoje software a odhalit další nedostatky související s kvalitou a bezpečností, které by bez přístupu ke kódu nebyly možné.

Bezpečnostní audit obsahuje white-box pentest a sadu otázek, které jdou do hloubky vašich procesů a postupů při vývoji software. Díky auditu dokážete zjistit aktuální stav aplikační bezpečnosti ve vaší firmě, nastavit si cíle a získat strategii, která vás k cílům dovede.

Jak probíhá spolupráce?

V rámci white-box pentestu se věnuju pouze aplikacím naprogramovaným v JavaScriptu / TypeScriptu (Node.js, React), PHP (Symfony) a Rustu. V případě bezpečnostního auditu nejste technologiemi limitováni.

Před začátkem spolupráce podepíšeme NDA a další typy smluv, které budete vyžadovat. Budu také dodržovat vaše security policy a další pravidla, která si nastavíme, a na kterých se dohodneme. Vyjasníme si taky scope a další náležitosti spojené s mou prací.

Po uzavření objednávky mi dáte přístup do repozitářů a dalších systémů, dle předchozí domluvy. Pak se pustím do testování a auditu. V případě auditu spolu budeme pravidelně komunikovat a volat si, vyžaduje totiž vaši součinnost nebo součinnost vašeho týmu.

Až budu hotov, pošlu vám report, kde bude manažerské shrnutí zranitelností, seznam zranitelností včetně popisu, severity, kroků k reprodukci a doporučený postup k opravě. Na základě code base vám taky doporučím best practices týkající se nejen bezpečnosti, ale i kvality.

Bezpečnostní audit bude obsahovat hloubkové shrnutí podle OWASP SAMM, sadu doporučení a strategii na základě nastavených cílů.

Jak white-box pentest, tak audit je plnohodnotný pentest, který vyžaduje zákon.

V případě zájmu může naše spolupráce pokračovat službou Aplikační bezpečnost od A do Z nebo Supervizor aplikační bezpečnosti, ale není to podmínkou.

Nedělám to poprvé

Mám za sebou nespočet projektů v roli vývojáře pro firmy všech velikostí. Sám jsem několik softwarových projektů řídil nebo vytvořil. Mám tedy zkušenosti jak s vývojem, testováním a zabezpečením, tak s byznysovou a finanční stránkou, řízením projektu a lidí, nebo nastavením cílů a metrik.

Poslechněte si, jak téma aplikační bezpečnosti vnímám v rozhovoru s Martinem Konečným.


Zajímá vás, jak na tom s aplikační bezpečností jste? Vyplňte pár otázek a nechte si poslat report zdarma.

Jsem na to sám a moje kapacita je omezená. Většinu času rezervuju stávajícím klientům, ale občas přijímám nové zajímavé výzvy. Napište mi e-mail na stefan.prokop@owasp.org nebo si pojďme zavolat a zjistit, jak vám můžu pomoct. 👇