Checkmarx logó

Eseti biztonsági forráskódelemzés

Arról már mindenki hallott, hogy az alkalmazások biztonsága is fontos, és nem csak az infrastruktúránk biztonságossá tétele.

Egyes szakértők szerint a sikeres hacker támadások 75%-ában az alkalmazások sérülékenysége miatt lehetett feltörni a rendszert. Ha ezt alapnak vesszük, akkor az egyik legfontosabb feladatunknak kell tekinteni az alkalmazásaink védelmét.

A gond ott kezdődik, hogy manapság rohamtempóban történik az alkalmazások fejlesztése (lásd az alábbi ábrát), a ”hagyományos”, csak az élesindulás előtti penetrációs teszt elvégzése már rég elavult megközelítés, alacsony hatékonyságú és emiatt borzasztóan költséges is.

Egy hagyományos Penetration teszt utáni hibajavítási költségekhez képest, több mint 90% -át a javítási költségeknek meg lehet spórolni egy fejlesztés alatti biztonsági forráskód elemzéssel.

Az általunk nyújtott Biztonsági forráskódelemző Szolgáltatás (SAST), ahogy a neve is mutatja, a lehető legkorábbi fejlesztési fázistól alkalmazható a még nyers, lefordítatlan forráskódon.

Checkmarx forráskód audit

Checkmarx vizsgázott szakértőinkkel vállalunk eseti biztonsági forráskódelemző szolgáltatást is, amely vizsgálat után egy részletes jelentést készítünk a találati eredményekről.

A vizsgálat eredmény terméke egy PDF formátumú sérülékenységi riport (angolul) magyar nyelvű vezetői összefoglalóval, amely az alábbi információkat tartalmazza:

  • tartalmazza a legsérülékenyebb forrásfájlokat,
  • a forráskódban előforduló leggyakoribb sérülékenységi kategóriákat,
  • a forráskódban talált sérülékenységek rövid leírását és részleteit (kockázat,
    érintett fájlok, kódrészletek a sérülékenységből, érintett sor és változó),
  • az adott sérülékenységhez kapcsolódó megjegyzéseket, példákat, technikai részleteket a sérülékenységről, kapcsolódó CVS számokat,
  • az adott sérülékenységre vonatkozó lehetséges javításokat és kockázatcsökkentő intézkedéseket,
  • további referenciák arra, hogy hol lehet tovább olvasni az adott sérülékenységről,
  • kockázatot, okokat a sérülékenység előfordulására, általános javítási ajánlásokat illetve példákat az adott sérülékenységi fajtára.

Az egyes sérülékenységek besorolása a Common Weakness Scoring System (CWSS) módszer alapján történik három kategóriában (magas, közepes és alacsony):

  • A magas kategóriába sorolt sérülékenységek viszonylag könnyen, akár távolról is kihasználhatók és a célzott rendszerre jelentős hatással bírnak. Például a rendszerhez jogosultság nélkül is hozzáférést lehet szerezni, az adatokhoz hozzá lehet férni.
  • A közepes kategóriába sorolt sérülékenységek potenciális veszélyt jelentenek, viszont nehezebben kivitelezhetőek a kihasználásuk és csak korlátozott a hatásuk. Szükség lehet pl. egy authentikált hozzáférésre.
  • Az alacsony kategóriába sorolt sérülékenységek általában olyan programozás-technikai problémákat jelentenek, amelyek bizonyos esetekben, veszélyt jelenthetnek a rendszer bizalmasságára és sértetlenségére.