Avaliação JumpStart de Segurança de Código-Fonte

Encontre as fontes de risco dos aplicativos

Visão geral

A capacidade da Foundstone em avaliações de segurança de código-fonte vem de nossos consultores de Serviço de Segurança de Software e Aplicativos (SASS), que já realizaram auditorias de código-fonte em um grande número de aplicativos de clientes e em seu próprio software. Nossos consultores de SASS já trabalharam como profissionais de desenvolvimento em sistemas comerciais de software em empresas e compreendem o processo de desenvolvimento de software, bem como por que e como as falhas de segurança são introduzidas. Nossa experiência, combinada com avançadas ferramentas automatizadas que utilizam a análise contextual, nos permite examinar uma quantidade maior de código com mais rapidez, precisão e eficácia do que outros serviços de consultoria de segurança.

Com uma Análise de Código JumpStart, a Foundstone realiza uma avaliação específica que complementa a análise automatizada de código com uma análise manual. As ferramentas automatizadas por si só não são eficazes para encontrar falhas de arquitetura, e também geram um grande número de falsos positivos. Os experientes consultores de SASS da Foundstone combatem essas deficiências, proporcionando à sua equipe resultados precisos e criteriosos que você pode usar para melhorar imediatamente a segurança dos seus aplicativos.

Principais Benefícios

O conhecimento de segurança de software da equipe de Serviços de Segurança de Software e Aplicativos da Foundstone vem de sua atuação anterior em organizações de grande porte de desenvolvimento de software. Eles já realizaram auditorias de código-fonte em um grande número de aplicativos de clientes e em seu próprio software. Tendo trabalhado como profissionais de desenvolvimento em sistemas comerciais de software em empresas, eles compreendem o processo de desenvolvimento de software, bem como por que e como as falhas de segurança são introduzidas. As recomendações que eles fazem oferecem soluções que cabem tanto na seção específica do código onde o problema foi identificado quanto na base de código mais ampla que deve interagir com a seção de código.

Talvez o mais importante seja que, tendo enfrentado algumas das mesmas pressões de desenvolvimento de software comercial com que a sua equipe pode lidar, nossos consultores estão bem equipados para fazer recomendações cuja implementação seja prática, e não meramente teórica. Nossos especialistas, utilizando técnicas de revisão manual de código e análise contextual, junto com avançadas ferramentas automatizadas, são capazes de examinar uma quantidade maior de código, com maior precisão, eficiência e eficácia do que os outros.

Além disso, a revisão de código da Foundstone ajuda a cumprir a exigência 6.6 da norma PCI DSS. Os experientes consultores de segurança de software da Foundstone apresentarão à sua equipe resultados precisos e criteriosos que você poderá usar para melhorar imediatamente a segurança dos seus aplicativos e cumprir os requisitos da PCI.

Metodologia

A Foundstone realizará essa avaliação usando a nossa metodologia testada e aprovada:

  • Análise básica de arquitetura e ensaio preliminar de código. Trabalhando no local com as principais partes interessadas da equipe de desenvolvimento, a Foundstone usa esta sessão para identificar falhas de arquitetura e obter acesso, além de realizar um ensaio preliminar do código fonte, familiarizando-se com o código para as fases seguintes.
  • De acordo com o porte e a complexidade da base de código, a Foundstone realiza análises de código dirigidas e delimitadas no tempo. Uma análise estática será realizada usando analisadores de código comerciais, de código aberto e desenvolvidos internamente pela própria Foundstone. Os resultados dessa análise serão auditados para eliminar falsos positivos. Finalmente, será realizada uma análise para identificar as áreas de maior risco para o aplicativo.
  • A Foundstone apresenta o relatório das ferramentas automatizadas, bem como um resumo executivo que permite ao cliente obter as informações de que precisa para tomar decisões sobre riscos em relação ao aplicativo que está sendo testado.

Nossa análise JumpStart de Código de Segurança contempla:

  • Um relatório técnico com base nos resultados das análises automatizadas usando as ferramentas descritas acima.
  • Um resumo executivo, que descreve os resultados do relatório, bem como falhas de arquitetura, problemas sistêmicos e as principais fontes de risco para os aplicativos identificadas pelos consultores da Foundstone. As fontes de risco podem ser pessoas, processos e problemas de tecnologia.
  • Uma apresentação executiva, com recomendações para atenuar os riscos e os passos seguintes propostos. A Foundstone pode trabalhar com o cliente para garantir que essa apresentação seja criada no nível certo para o público proposto.