Kontrola zdrojových kódov

Code review Kontrolujeme bezpečnosť poskytnutých zdrojových kódov prostredníctvom manuálnej a automatizovanej analýzy a poskytujeme odporúčania prispôsobené aplikácii a technológii. 

Advanced white-box Preverujeme bezpečnosť aplikácií kombináciou revízie bezpečnosti kódu, penetračných testov a auditov cieľových aplikácií.

Checkmarx Pomáhame klientom implementovať pokročilé riešenia spoločnosti Checkmarx na automatizovanú analýzu zdrojových kódov (CxSAST), analýzu zloženia aplikácií (CxSCA) a školenia vývojárov (Codebashing).

Školenia a konzultačná činnosť Poskytujeme školenia o bezpečnom vývoji v procedurálnej (SSDLC) aj technickej oblasti (bezpečný vývoj webových aplikácií).

• Revízia aplikácií v mnohých populárnych jazykoch (Java, C#, PHP, ...). 
• Interná metodológia založená na skúsenostiach z bezpečného vývoja a penetračných testov, vychádzajúca z uznávaných štandardov projektu OWASP. 
• Umožňuje odhaliť vývojárske chyby, backdoory, chyby v návrhu, nedodržiavanie best practices, používanie slabej kryptografie a mnoho ďalších zraniteľností v aplikácii. 
• Code review pozostáva z dvoch hlavných častí analýzy: 
• Automatizovaná revízia celého kódu pomocou open-source a proprietárnych nástrojov a revízia výsledkov bezpečnostným špecialistom. 
• Manuálna revízia celého kódu alebo jeho čiastkových častí vybraných klientom alebo bezpečnostným špecialistom.
• Nájdené zraniteľnosti sú podrobne opísané a sú poskytnuté odporúčania s prihliadnutím na použitý technologický stack.

• Pokročilá forma white-box testovania.
• Kombinácia penetračných testov, code review a prípadne ďalších disciplín. 
• Dosahuje vyššiu kvalitu a efektívnosť spojením síl etických hackerov s expertmi na bezpečný vývoj. 
• Maximalizuje úžitok z viacerých bezpečnostných disciplín.

• CxSAST - nástroj na automatizovanú statickú analýzu zdrojových kódov, ktorý možno integrovať so širokým spektrom technológií. 
• CxSCA - nástroj na analýzu kompozície softwaru zameraný na vyhľadávanie zraniteľných softwarových závislostí a licenčných konfliktov. 
• Codebashing - platforma na vzdelávanie vývojárov v oblasti písania bezpečného kódu.

• Školenie technického a procesného charakteru. 
• Konzultácie v oblasti bezpečného vývoja.

Jeden z našich popredných klientov nás požiadal o penetračné testy novo vyvinutej mobilnej aplikácie, ktorá spravuje finančné informácie používateľov. Keďže aplikáciu vyvinula dodávateľská firma, okrem overenia bezpečnosti nás klient požiadal aj o overenie, či aplikácia spĺňa kritériá, ktoré si vyžadoval návrh. 

Počas penetračných testov sme objavili niekoľko veľmi závažných autentifikačných a autorizačných zraniteľností, ktoré by mohli útočníkovi umožniť prístup k profilu a finančným informáciám všetkých používateľov produktu. Tieto veľmi dôležité dáta by mohli byť hackermi zneužité napríklad pri phishingových kampaniach zameraných na používateľov alebo pri priamych útokoch na inštitúciu. Ak by táto situácia nastala v reálnej prevádzke, spoločnosti by hrozili veľké finančné straty, s tým spojená strata klientskej základne a poškodenie dobrého mena. Keďže však penetračné testy boli vykonané včas pred zverejnením aplikácie do reálnej prevádzky, tomuto závažnému incidentu sa podarilo predísť. 

Analýza návrhu a reálneho stavu aplikácie navyše poukázala na niektoré odchýlky od dohodnutých požiadaviek, napríklad v oblasti spracovania používateľských dokumentov, ktorá podlieha zákonu GDPR, čo dodávateľ v aplikácii dostatočne nezabezpečil. Klientovi sa preto podarilo v rámci zmluvy dohodnúť urýchlenú bezplatnú opravu a zvýšiť tak úroveň zabezpečenia svojej mobilnej aplikácie.