Tým potřebuje nezávislý bezpečnostní pohled
Interní posouzení často nevidí slabiny vzniklé kombinací frameworku, vlastního kódu a konfigurace.
Bezpečnost PHP aplikací
Prověřím PHP aplikaci z pohledu útočníka i vývojáře a převedu nálezy do plánu oprav.
Vhodné pro týmy, které chtějí nezávislý bezpečnostní pohled na vlastní aplikaci, vydání nové verze nebo významnou změnu.
- Pohled útočníka i vývojáře
- Nálezy převoditelné do úkolů
- Možnost ověření oprav a konzultace
Jaký problém řešíme
Nálezy musí být opravitelné
Report musí jít převést do plánu oprav, úkolů a rozumného pořadí oprav, jinak rychle ztrácí hodnotu.
Bezpečnost má být součást rozhodnutí před vydáním
Bezpečnostní posouzení pomůže před vydáním nové verze, po významné změně nebo jako pravidelná nezávislá kontrola.
Ukázka struktury výstupu bezpečnostního posouzení
Posouzení PHP aplikace je zaměřené na nálezy, které jde rychle pochopit, prioritizovat a opravit.
Aplikace
Riziková místa v kódu, autentizaci a oprávnění
Nálezy z pohledu logiky aplikace, správy relací, autentizace, autorizace a související konfigurace.
Plán oprav
Prioritizovaný seznam oprav
Doporučení formulovaná tak, aby šla převést do úkolů a další práce vývojového týmu.
Vydání
Doporučení pro vydání nové verze a ověření oprav
Jasné oddělení kritických blokátorů od věcí, které lze bezpečně řešit v dalším kroku.
Co dostanete
Technický report nálezů
Zneužitelné chyby, jejich dopad, kontext a doporučení k opravě v jazyce srozumitelném pro vývoj.
Doporučení priorit a plán oprav
Pomohu oddělit kritické věci od těch, které lze řešit později nebo jinak.
Konzultace nebo ověření oprav
Mohu projít nálezy s týmem a po opravách potvrdit, že byly odstraněny správně.
Jak probíhá spolupráce
Vymezení rozsahu a kontextu aplikace
Potřebuji pochopit architekturu, rizikové části, očekávaný rozsah a způsob práce s podklady.
Posouzení aplikace a souvisejících prvků
Podle rozsahu prověřuji kód, logiku, konfiguraci, autentizaci, správu relací a další relevantní části.
Report a prioritizace oprav
Nálezy předám v podobě použitelné pro plán oprav a technické rozhodnutí týmu.
Konzultace nebo ověření oprav
Následuje průchod nálezů s týmem nebo ověření, že byly opravy provedeny účinně.
Pro koho je služba vhodná
- PHP týmy s vlastním softwarem
- firmy provozující interní nebo klientské webové aplikace
- týmy před vydáním nové verze nebo po významné změně architektury
Další podklady před rozhodnutím
Pokud potřebujete před kontaktem ověřit, jak spolupráce probíhá a jak vypadá samotný výstup, použijte tyto dvě samostatné stránky.
Jak probíhá spolupráce
Průběh vyjasnění rozsahu, práce s podklady, analytického ověření a navazující komunikace bez marketingové zkratky.
Jak vypadá výstup
Struktura výstupu pro vedení, správce i technický tým včetně toho, jak se z něj určuje další krok.
Domluvit vhodný první krok
Pokud už je rozsah zřejmý, pokračujte rovnou formulářem a doplňte prostředí, rozhodovací roli a očekávaný výstup.
Typické segmenty, kde tato služba dává smysl
Kyberbezpečnost pro software a SaaS firmy
Přirozený segment pro týmy s vlastním produkčním softwarem a odpovědností za vydání nové verze.
Kyberbezpečnost pro firmy s odbornými službami
Relevantní pro firmy, které provozují klientské portály, objednávkové aplikace nebo interní nástroje.
Webové aplikace a API
Širší bezpečnostní služba pro týmy, které kromě PHP řeší i API, uživatelské rozhraní nebo více technologií.
Časté otázky
Je výstup vhodný pro plán práce vývojového týmu?
Ano. Cílem je, aby nálezy byly dost konkrétní a prioritizované tak, aby šly rozdělit do dalších prací týmu.
Posuzujete jen kód, nebo i konfiguraci a provoz?
Rozsah nastavíme podle cíle. U aplikací často dává smysl kombinovat pohled na kód, autentizaci, konfiguraci i vystavení služby.
Má smysl externí posouzení i pro zkušený interní tým?
Ano. Externí pohled je cenný právě tam, kde tým aplikaci zná příliš dobře a některé typy chyb už nevidí.
Chcete bezpečnostní pohled na PHP aplikaci před vydáním nebo po změně?
Pošlete základní informace o aplikaci a cíli posouzení. Navrhnu rozsah, formu výstupu a další postup.