Анализ исходного кода приложения

С ростом бизнеса банка увеличивается число контрагентов, которые привлекаются для разработки того или иного ПО, используемого для решения бизнес-задач банка. По тем или иным причинам (халатность контрагентов, подкуп сотрудника, невнимательность ИБ-специалистов, и др.) исходный код попадает в руки злоумышленников. Подробное изучение исходного кода приложения банка позволяет злоумышленнику находить уязвимости в ПО. Найденные уязвимости могут быть быстро и незаметно от специалистов ИБ использованы злоумышленником.


Решение

Проведение анализа исходного кода требуется для выполнения требований законодательства в сфере информационной безопасности, например для оценки соответствия по ОУД4.

Для устранения критических уязвимостей приложения предлагаем провести полноценный анализ исходного кода приложения. Будет выполнен анализ исходного кода с использованием автоматизированных средств анализа исходного кода, а также ручной анализ, включающий в себя:

  • поиск использования небезопасных функций исходного кода, позволяющих выполнять произвольный код на серверной стороне;
  • анализ корректности и безопасности использования криптографических функций;
  • поиск функций, ведущих к небезопасным обращениям к другим объектам;
  • небезопасное обращение к файловой системе, базам данных и др.;
  • присутствие логических уязвимостей (накручивание денежных средств, нелегитимные переводы, доступ к чужим банковским счетам клиентов);
  • другое.

Результат

После оказания услуги предоставляем:

  • отчет о найденных уязвимостях в исходном коде приложения;
  • рекомендации по использованию корректных и безопасных функций для реализации бизнес-задач банка;
  • рекомендации по использованию дополнительных защитных мер и процессов для снижения рисков информационной безопасности;
  • высокоуровневую презентацию для высшего руководства банка о текущем состоянии защищенности приложения.