I siti McAfee Secure aiutano a proteggersi da furti di identità, frodi a danno delle carte di credito, programmi spyware, spam, virus e truffe online
Home Page AziendeServicesTechnology Consulting

Valutazione rapida della sicurezza del codice sorgente

Individuazione delle fonti di rischio per le applicazioni

Overview

Le competenze di Foundstone nella valutazione della sicurezza del codice sorgente sono dovute all'esperienza sul campo dei nostri consulenti SASS (Software and Application Security Service) che hanno eseguito verifiche sui codici sorgente di diverse applicazioni client, nonché dei loro software. I nostri consulenti SASS hanno lavorato in passato come sviluppatori esperti di sistemi software di aziende commerciali, pertanto conoscono bene il processo di sviluppo di un software e sanno anche perchè e come si creano difetti di sicurezza. La nostra esperienza, abbinata all'implementazione di avanzati strumenti automatici che utilizzano l'analisi contestuale, ci permette di analizzare grandi volumi di codice in tempi rapidissimi ma anche in modo più accurato ed efficace rispetto ad altri servizi di consulenza per la sicurezza.

Con un'analisi del codice rapida, Foundstone esegue una valutazione mirata che affianca l'analisi del codice automatica all'analisi manuale. I soli strumenti automatici non sono efficaci nell'individuazione di falle di sicurezza a livello di architettura e spesso restituiscono numerosi falsi positivi. Gli esperti consulenti SASS Foundstone ovviano a queste carenze fornendo risultati precisi e approfonditi che possono essere utilizzati nell'immediato per migliorare la sicurezza dell'applicazione interessata.

Vantaggi principali

Il team Software & Application Security Service di Foundstone garantisce le competenze sulla sicurezza software maturate nelle società di sviluppo dei software aziendali. I nostri consulenti hanno eseguito controlli sul codice sorgente in diverse applicazioni client, nonché sui loro stessi software. Poiché hanno lavorato in passato come sviluppatori esperti di sistemi software di aziende commerciali, essi conoscono bene il processo di sviluppo di un software ma sanno anche perchè e come vengono inseriti i difetti della sicurezza. Le raccomandazioni che forniscono offrono soluzioni applicabili sia alla sezione di codice specifica, nella quale è stato riscontrato il problema, sia alla base di codice più ampia che deve interagire con quella sezione.

Molta importanza ricopre anche il fatto che, poiché i nostri consulenti hanno affrontato le pressioni dell'ambito dello sviluppo di software commerciali che vive anche il team della tua azienda, essi sono perfettamente in grado di proporre suggerimenti pratici da implementare e non solo di natura teorica. I nostri esperti, utilizzando tecniche di analisi del codice manuale e l'analisi contestuale in combinazione con strumenti automatici avanzati, sono in grado di esaminare più codice, più accuratamente e più efficacemente di altri.

Infine, l'analisi del codice di Foundstone è utile per conformare l'azienda al requisito 6.6 dello standard PCI DSS. I consulenti professionisti nella sicurezza dei software di Foundstone forniranno al tuo team risultati accurati e dettagliati che potranno essere utilizzati immediatamente per potenziare la sicurezza della tua applicazione e soddisfare i requisiti PCI.

Methodology

Foundstone esegue questa valutazione implementando la nostra metodologia comprovata e testata:

  • Analisi di base dell'architettura e del codice. Questa sessione eseguita onsite da esponenti chiave del team di sviluppo, è utilizzata da Foundstone per identificare le falle di sicurezza nell'architettura nonché per accedere e analizzare il codice sorgente, ottenendo una certa familiarità per le fasi successive.
  • In base alle dimensioni e alla complessità del codice sorgente, Foundstone esegue poi analisi sul codice mirate e di durata predefinita. L'analisi statica sarà eseguita utilizzando sia scanner di codice in commercio, open source, sia quelli sviluppati internamente da Foundstone. I risultati di questa analisi saranno controllati per eliminare i falsi positivi. Infine, verrà svolta un'analisi per identificare le aree di rischio principali per l'applicazione.
  • Foundstone presenta il report degli strumenti automatici nonché un riepilogo esecutivo che consente al cliente di ottenere le informazioni necessarie per prendere delle decisioni sui rischi cui sono esposte le applicazioni testate.

La nostra analisi del codice di sicurezza rapida include:

  • Un report tecnico basato sui risultati delle scansioni automatiche svolte utilizzando gli strumenti descritti in precedenza.
  • Un riepilogo esecutivo che descrive i risultati del report, nonché le falle di sicurezza a livello di architettura, le problematiche a livello di sistema e le principali fonti di rischio identificate dai consulenti di Foundstone. Le fonti di rischio possono essere rappresentate da persone, processi e problematiche tecnologiche.
  • Una presentazione esecutiva che espone le raccomandazioni per mitigare i rischi e i passaggi successivi suggeriti. Foundstone può collaborare con il cliente nella creazione di questa presentazione, per garantire che sia adatta ai destinatari interessati.

Resources

White Paper

Foundstone CodeScout (English)

This white paper details the features of CodeScout, a free tool from Foundstone that helps to automate a portion of the code review process.

Foundstone Hacme Bank v2.0 Software Security Training Application (English)

Hacme Bank teaches application developers, programmers, software architects, and security professionals how to create secure software by attempting to exploit vulnerabilities and implement remediations in a simulated online banking system.

Foundstone Hacme Books v2.0 Strategic Secure Software Training Application (English)

This user guide provides an overview of Foundstone Hacme Books, a learning platform for secure software development.

Foundstone Hacme Casino v1.0 Strategic Secure Software Training Application (English)

This user guide introduces Hacme Casino, a learning platform for secure software development.

Foundstone Hacme Shipping v1.0 Software Security Training Application (English)

This white paper provides an overview of Foundstone Hacme Shipping a learning platform for secure software development.

Foundstone Hacme Travel Software Security Training Application (English)

Hacme Travel teaches application developers, programmers, software architects, and security professionals how to create secure software by attempting to exploit vulnerabilities and implement remediations in a simulated travel reservation system.

Mobile Application Security Testing (English)

This white paper documents a step-by-step methodology for testing mobile application security.

Proof of Concept: A New Data Validation Technique for Microsoft ASP NET Web Applications (English)

This white paper examines Validator.net, a McAfee Foundstone data validation tool for ASP.NET developers.

Secure Application Development with Ajax (English)

A presentation on Ajax Security from the rich web experience.

Securely Registering Applications (English)

This white paper examines insecure registration vulnerabilities among applications, detailing the impact of this threat and how it is exploited by hackers.

Socket Hijacking (English)

This white paper looks at socket hijacking on Windows systems, the impact of the vulnerability, and how it is exploited.

Writing Effective Policies Part I: Dissecting an Email Use Policy (English)

This white paper details the characteristics of an effective information security policy.

Italia - Italiano