Secure Code Review

​​​​​​​​​​​​​​Secure Code Review​

Proces code review spočívá v automatizované i manuální kontrole kódu prováděné specialisty zaměřenými na bezpečný vývoj. Analýza zdrojového kódu dovede odhalit i skryté hrozby a potenciálně slabá místa v aplikaci, která by nebylo snadné detekovat běžnými penetračními testy. Výsledkem revize kódu je podrobný popis zranitelností s konkrétními doporučeními k jejich nápravě.

 
 

​​

Náš příběh 

Jeden z našich předních klientů nás požádal o penetrační testy nově vytvářené mobilní aplikace, která spravuje finanční informace uživatelů. Jelikož byla aplikace vyvíjena dodavatelskou firmou, byly jsme klientem kromě ověření bezpečnosti požádání také o prověření dodržení kritérií, které měla aplikace dle návrhu splňovat. 
Při penetračních testech jsme objevili několik velmi závažných zranitelností v oblasti autentizace a autorizace, díky kterým by mohl útočník přistupovat k profilovým a finančním informacím všech uživatelů produktu. Tato velmi kritická data by mohla být hackery využita například k phishingovým kampaním, mířeným na uživatele, či přímo v útocích na instituci. Pokud by tato situace nastala již za reálného provozu, hrozily by společnosti velké finanční ztráty, s nimi spojena ztráta klientské základny a poškození dobré pověsti. Protože však penetrační testy proběhly včas před publikací aplikace do reálného provozu, podařilo se tomuto závažnému incidentu zabránit. ​
Analýza návrhu a reálného stavu aplikace navíc poukázala na některé odchylky od smluvených požadavků, například v oblasti práce s dokumenty uživatele, jenž podléhá zákonu o GDPR, kterou dodavatel v aplikaci nedostatečně zabezpečil. Klient tak mohl v rámci smlouvy vyjednat urychlené bezplatné opravy, a ještě tak navýšit úroveň zabezpečení své mobilní aplikace.​

Popis řešení

Bezpečný vývoj a revize zdrojového kódu:

Code review 

Kontrolujeme bezpečnost poskytnutých zdrojových kódů formou manuální i automatizované analýzy a podáváme doporučení šitá na míru dané aplikaci i technologiím. 

Advanced white-box

Provádíme komplexní prověřování bezpečnosti aplikací kombinací bezpečnostních revizí kódu, penetračních testů a auditů cílových aplikací. 

Checkmarx 

Pomáháme klientům implementovat pokročilá řešení od společnosti Checkmarx pro automatizovanou analýzu zdrojových kódů (CxSAST), analýzu kompozice aplikace (CxSCA) a školení vývojářů (Codebashing).

Školení a konzultační činnost 

Provádíme školení bezpečného vývoje v oblasti procesní (SSDLC) i technické (bezpečný vývoj webových aplikací).​

Code review 

  • ​Revize aplikací v mnoha populárních jazycích (Java, C#, PHP, …). 
  • Interní metodologie založená na zkušenostech z bezpečného vývoje i penetračních testů, opírající se o uznávané standardy projektu OWASP. 
  • Umožňuje odhalit vývojářské chyby, backdoory, chyby v návrhu, nedodržování best practices, použití slabé kryptografie a mnoho dalších zranitelných míst v aplikaci. 
  • Code review se skládá ze dvou hlavních analyzačních částí: 
      • ​Automatizovaná revize celého kódu pomocí open-source i proprietárních nástrojů a prověření výsledků bezpečnostním specialistou. 
      • ​Manuální revize celého kódu, či jeho dílčích částí vybraných klientem či bezpečnostním specialistou.
  • Nalezené zranitelnosti jsou podrobně popsány a jsou k nim na míru poskytnuta doporučení, která berou v potaz použitý technologický stack.​

Advanced white-box

  • Pokročilá forma white-box testování.
  • Kombinace penetračních testů, code review a volitelně i dalších disciplín. 
  • Dosahuje vyšší kvality i efektivity spojením sil etických hackerů s experty na bezpečný vývoj. 
  • Maximalizuje užitek z více bezpečnostních disciplín.

Checkmarx 

  • CxSAST – nástroj pro automatizovanou statickou analýzu zdrojových kódů, který je možné integrovat se širokým spektrem technologií. 
  • CxSCA – nástroj pro analýzu kompozice software, jehož cílem je nalezení zranitelných softwarových závislostí i licenčních konfliktů. 
  • ​Codebashing – platforma pro vzdělávání vývojářů v oblasti psaní bezpečného kódu. 

​Školení a konzultační činnost 

  • Školení technického i procesního charakteru. 
  • Konzultace v oblasti bezpečného vývoje.
 

Proč zvolit AEC?​

  • Patříme mezi zavedené české security firmy, na trhu úspěšně působíme již déle než 30 let. 
  • Nasloucháme klientům a přizpůsobujeme služby jejich potřebám a časovým možnostem. 
  • Náš tým tvoří specialisté s bohatými zkušenostmi z oblasti vývoje i etického hackingu. 
  • Sledujeme moderní trendy v oblasti vývoje, bezpečnosti a technologií. 
  • Při analýzách zdrojových kódů klademe důraz na manuální revize, které vedou k odhalení většího množství chyb než běžná automatizovaná řešení. 
  • Umožňujeme provádění komplexních bezpečnostních auditů kombinací několika bezpečnostních disciplín. 
  • Stavíme své služby na mnohaletých zkušenostech a léty prověřených standardech.

Reference 

  • Škoda Auto a.s. 
  • Česká národní banka 
  • NN Group 
  • Československá obchodná banka, a.s. 
  • KKCG 
  • ESSOX s. r. o. 
  • Moneta Money Bank

Rádi zkonzultujeme vaši konkrétní situaci


Ověření: 

​​