Tým potřebuje nezávislý bezpečnostní pohled
Interní posouzení často nevidí slabiny vzniklé kombinací frameworku, vlastního kódu a konfigurace.
Vhodné pro týmy, které chtějí nezávislý bezpečnostní pohled na vlastní aplikaci, vydání nové verze nebo významnou změnu.
Interní posouzení často nevidí slabiny vzniklé kombinací frameworku, vlastního kódu a konfigurace.
Report musí jít převést do plánu oprav, úkolů a rozumného pořadí oprav, jinak rychle ztrácí hodnotu.
Bezpečnostní posouzení pomůže před vydáním nové verze, po významné změně nebo jako pravidelná nezávislá kontrola.
Posouzení PHP aplikace je zaměřené na nálezy, které jde rychle pochopit, prioritizovat a opravit.
Aplikace
Nálezy z pohledu logiky aplikace, správy relací, autentizace, autorizace a související konfigurace.
Plán oprav
Doporučení formulovaná tak, aby šla převést do úkolů a další práce vývojového týmu.
Vydání
Jasné oddělení kritických blokátorů od věcí, které lze bezpečně řešit v dalším kroku.
Zneužitelné chyby, jejich dopad, kontext a doporučení k opravě v jazyce srozumitelném pro vývoj.
Pomohu oddělit kritické věci od těch, které lze řešit později nebo jinak.
Mohu projít nálezy s týmem a po opravách potvrdit, že byly odstraněny správně.
Potřebuji pochopit architekturu, rizikové části, očekávaný rozsah a způsob práce s podklady.
Podle rozsahu prověřuji kód, logiku, konfiguraci, autentizaci, správu relací a další relevantní části.
Nálezy předám v podobě použitelné pro plán oprav a technické rozhodnutí týmu.
Následuje průchod nálezů s týmem nebo ověření, že byly opravy provedeny účinně.
Ano. Cílem je, aby nálezy byly dost konkrétní a prioritizované tak, aby šly rozdělit do dalších prací týmu.
Rozsah nastavíme podle cíle. U aplikací často dává smysl kombinovat pohled na kód, autentizaci, konfiguraci i vystavení služby.
Ano. Externí pohled je cenný právě tam, kde tým aplikaci zná příliš dobře a některé typy chyb už nevidí.
Pošlete základní informace o aplikaci a cíli posouzení. Navrhnu rozsah, formu výstupu a další postup.