Valutazione rapida della sicurezza del codice sorgente

Individuazione delle fonti di rischio per le applicazioni

Overview

Le competenze di Foundstone nella valutazione della sicurezza del codice sorgente sono dovute all'esperienza sul campo dei nostri consulenti SASS (Software and Application Security Service) che hanno eseguito verifiche sui codici sorgente di diverse applicazioni client, nonché dei loro software. I nostri consulenti SASS hanno lavorato in passato come sviluppatori esperti di sistemi software di aziende commerciali, pertanto conoscono bene il processo di sviluppo di un software e sanno anche perchè e come si creano difetti di sicurezza. La nostra esperienza, abbinata all'implementazione di avanzati strumenti automatici che utilizzano l'analisi contestuale, ci permette di analizzare grandi volumi di codice in tempi rapidissimi ma anche in modo più accurato ed efficace rispetto ad altri servizi di consulenza per la sicurezza.

Con un'analisi del codice rapida, Foundstone esegue una valutazione mirata che affianca l'analisi del codice automatica all'analisi manuale. I soli strumenti automatici non sono efficaci nell'individuazione di falle di sicurezza a livello di architettura e spesso restituiscono numerosi falsi positivi. Gli esperti consulenti SASS Foundstone ovviano a queste carenze fornendo risultati precisi e approfonditi che possono essere utilizzati nell'immediato per migliorare la sicurezza dell'applicazione interessata.

Vantaggi principali

Il team Software & Application Security Service di Foundstone garantisce le competenze sulla sicurezza software maturate nelle società di sviluppo dei software aziendali. I nostri consulenti hanno eseguito controlli sul codice sorgente in diverse applicazioni client, nonché sui loro stessi software. Poiché hanno lavorato in passato come sviluppatori esperti di sistemi software di aziende commerciali, essi conoscono bene il processo di sviluppo di un software ma sanno anche perchè e come vengono inseriti i difetti della sicurezza. Le raccomandazioni che forniscono offrono soluzioni applicabili sia alla sezione di codice specifica, nella quale è stato riscontrato il problema, sia alla base di codice più ampia che deve interagire con quella sezione.

Molta importanza ricopre anche il fatto che, poiché i nostri consulenti hanno affrontato le pressioni dell'ambito dello sviluppo di software commerciali che vive anche il team della tua azienda, essi sono perfettamente in grado di proporre suggerimenti pratici da implementare e non solo di natura teorica. I nostri esperti, utilizzando tecniche di analisi del codice manuale e l'analisi contestuale in combinazione con strumenti automatici avanzati, sono in grado di esaminare più codice, più accuratamente e più efficacemente di altri.

Infine, l'analisi del codice di Foundstone è utile per conformare l'azienda al requisito 6.6 dello standard PCI DSS. I consulenti professionisti nella sicurezza dei software di Foundstone forniranno al tuo team risultati accurati e dettagliati che potranno essere utilizzati immediatamente per potenziare la sicurezza della tua applicazione e soddisfare i requisiti PCI.

Methodology

Foundstone esegue questa valutazione implementando la nostra metodologia comprovata e testata:

  • Analisi di base dell'architettura e del codice. Questa sessione eseguita onsite da esponenti chiave del team di sviluppo, è utilizzata da Foundstone per identificare le falle di sicurezza nell'architettura nonché per accedere e analizzare il codice sorgente, ottenendo una certa familiarità per le fasi successive.
  • In base alle dimensioni e alla complessità del codice sorgente, Foundstone esegue poi analisi sul codice mirate e di durata predefinita. L'analisi statica sarà eseguita utilizzando sia scanner di codice in commercio, open source, sia quelli sviluppati internamente da Foundstone. I risultati di questa analisi saranno controllati per eliminare i falsi positivi. Infine, verrà svolta un'analisi per identificare le aree di rischio principali per l'applicazione.
  • Foundstone presenta il report degli strumenti automatici nonché un riepilogo esecutivo che consente al cliente di ottenere le informazioni necessarie per prendere delle decisioni sui rischi cui sono esposte le applicazioni testate.

La nostra analisi del codice di sicurezza rapida include:

  • Un report tecnico basato sui risultati delle scansioni automatiche svolte utilizzando gli strumenti descritti in precedenza.
  • Un riepilogo esecutivo che descrive i risultati del report, nonché le falle di sicurezza a livello di architettura, le problematiche a livello di sistema e le principali fonti di rischio identificate dai consulenti di Foundstone. Le fonti di rischio possono essere rappresentate da persone, processi e problematiche tecnologiche.
  • Una presentazione esecutiva che espone le raccomandazioni per mitigare i rischi e i passaggi successivi suggeriti. Foundstone può collaborare con il cliente nella creazione di questa presentazione, per garantire che sia adatta ai destinatari interessati.