Co

cloudbreaker.co -- an AppSec company

A boldog múltba vész az, amikor a határvédelem és a rétegelt architektúra biztonságot kínált. Egy fontos vállalati szoftvert építsünk úgy, hogy várható eseményként kalkulálunk a közvetlen támadással. Egy script kiddie, de még a felkészült támadó se találjon könnyű fogást az alkalmazáson.

QA

SeQA: Quality Assurance meets Security

SeQA (Security Quality Assurance) –
egy a középeurópai nagyvállalatoknál jól alkalmazható AppSec szabályzat, mely SSA követelményeket és módszertant, illetve technológia-specifikus előírásokat tartalmaz, része a sérülékenység-mentességet szabályozó szerződés-kiegészítés, oktatási terv és kockázat-kalkulátor.

Sc

scoring.seqa.eu     

A SeQA Scoring olyan egyszerű, hogy nem talál mentséget arra, miért nem alkalmazza minden fejlesztés és beszerzés alkalmával: 6 evidens kérdés; nem biztonsági szakember is kiszámolhatja a besorolást; a böngésződben lokálisan futó HTML5; freeware.

Nu

cloudbreaker.co hírek:

A Cloudbreaker Co. a szoftver biztonsági minőségének és sérülékenységeinek szakértője.  Alkalmazásbiztonsági tudást, módszereket és praktikákat telepítünk a nagyvállalati szoftverfejlesztés műhelyeibe. A tervezéstől a tesztelésig úgy egészítjük ki a folyamatot, hogy felkészült támadó se találjon fogást az alkalmazáson. Komplex AppSec támogatást nyújtunk, eseti code-review-t, oktatást vagy sérülékenység-vizsgálatot vállalunk. Biztonsági minőségbiztosítási rendszert vezetünk be, neve: SeQA*. Tízéves banki biztonsági fejlesztői múltunkra támaszkodunk. Társaságunk tagjai alapították az OWASP magyarországi tagozatát.

* SeQA (Security Quality Assurance) –
egy a középeurópai nagyvállalatoknál jól alkalmazható AppSec szabályzat, mely SSA követelményeket és módszertant, illetve technológia-specifikus előírásokat tartalmaz, része a sérülékenység-mentességet szabályozó szerződés-kiegészítés, oktatási terv és kockázat-kalkulátor.

Alkalmazásbiztonsági szabályzatunk lehetővé teszi, hogy a nagyvállalatok biztonságos szoftvereket vásároljanak és fejlesszenek.

SeQA vállalati standardként:

  • jelentős előrelépés az alkalmazások és adatok védelmében;
  • a fejlesztőkkel valóban betartatható, a belső fejlesztésben rutinná válhat;
  • előírásai authoritív forrásokból származnak (pl. SANS Institute, OWASP, MS SDL);
  • TCO-ja igen kedvező neves nemzetközi standardokhoz képest;
  • adekvát beszerzési követelményeked ad;
  • a fejlesztői szerződésekben pedig korrekt módon megkövetelhető.

(☞  A SeQA-ról bővebben  ♨)

** A társaságunk egy évtizedes gyakorlattal rendelkezik a vállalati biztonsági megoldásokban, banki hozzáférésvédelmi és idm rendszerek fejlesztéséből nőtte ki magát tanácsadóvá (innovatív idm módszertanunkat európai kíválósági díjjal is elismerték).

A cloudbreaker.co az azd.security Kft. alkalmazás-biztonsági (AppSec + EH) üzletága, mely korábban a webes alkalmazások sérülékenységvizsgálatára fókuszált.

A cég fő referenciái:
Budapest Bank (GE Money), GIRO Zrt., IHM/ITKTB, Hong Kong bevándorlási hivatala.

A Cloudbreaker fő referenciái:
AEGON, Foxconn, Országleltár.gov.hu, EUB.

A SeQA szabályzat Dr. Dudás Ágnes szofver-jogásszal együttműködve jött létre.

AppSec szabályzat és szolgáltatás

A sérülékenységmentességet érdemes úgy szemlélni, mint a szoftver minőségének egy aspektusát – nevezzük ezt biztonsági minőségnek (security quality). Mi ezt a megközelítést alkalmazva segítünk abban, hogy a szoftver megrendelője és a fejlesztője (legyen az belső vagy külső) az alkalmazásbiztonságra (application security, AppSec) megfelelő figyelmet fordítsanak, megfelelő szakértelmet és kontrollokat alkalmazzanak. A biztonsági minőségre törekvő szoftvergyártás minden érintett közös felelőssége: a megrendelőé, a tervezőé, a fejlesztőé és a tesztelőé egyaránt.

A vállalatoknak a sérülékenységmentesség szakmailag egyértelmű követelményeivel szabályozniuk kell belső fejlesztéseiket, illetve módszertani és gyakorlati utasításokban kell rögzítsék a biztonsági minőséget garantáló fejlesztési eljárásokat. A szoftverszállító műhelyeknek pedig ugyanilyen követelményeknek megfelelve kell tudniuk gyártani, ezért ugyanolyan belső szabványokat kell betartaniuk a saját fejlesztési folyamatokban, amilyeneket a megrendelő vállalat működtetne magánál.

A külső fejlesztésű szoftvereket felhasználó vállalat felelőssége, hogy már a beszerzés kiírásakor egyértelműen meghatározza a sérülékenységmentességi követelményeket, ezek teljesülésének igazolásával vegye át a szoftvert, illetve a felhasználás teljes ideje alatt szerződésszerűen ki tudja kényszeríteni a biztonsági hibák sürgős és akár térítésmentes javítását.

A jó biztonsági minőségben való gyártás megfelelő szakmai kompetenciát, azaz tudást és tudatosságot igényel, ehhez oktatásokra van szükség.

A fenti intézkedéseket rendszerezetten, módszeresen és korrektül kell működtetni. Ezen felül az alkalmazásbiztonsági intézkedésrendszer működtetése nem jelenthet nagyobb költséget, mint amennyit a vállalatok ésszerűnek élnek meg. A Cloudbreaker az általa képviselt SeQA minőségbiztosítási rendszert nyújtja ebben a szellemben, illetve az azzal együtt járó vagy függetlenül is igénybevehető szolgáltatásait.

Egy AppSec szabályzat bevezetésével a vállalat lényegesen könnyebben meg tud felelni a biztonságra vonatkozó hatósági és iparági elvárásoknak (pl. PSZÁF, ISO 27001, PCI DSS, MIBÉTS).

SeQA, az AppSec minőségbiztosítási rendszer

SeQA – a középeurópai nagyvállalatokra szabott alkalmazásbiztonsági (AppSec) minőségbiztosítási rendszer. Követelményeket és módszertani előírásokat fogalmaz meg a közismert sérülékenységtől mentes vállalati alkalmazások elkészítéséhez, illetve a fejlesztések beszerzéséhez. Az elnevezés kifejtése: Security QA, Security Quality Assurance – azaz a fent taglalt megközelítésnek megfelelően biztonsági minőségbiztosítás.

A SeQA minőségbiztosítási rendszer eredetileg nagyvállalatoknál, bankoknál és biztosítóknál, illetve azok beszállítóinál jól alkalmazható AppSec szabályzatként készült, mely SSA (software security assurance) követelményeket és módszertant tartalmaz, valamint minden olyan modult, ami az önállóan értelmes alkalmazásához szükséges (lásd jogi és oktatási aspektus). A SeQA a moduláris jellege és a felhasználási célnak megfelelő alakíthatósága miatt végül annál jóval több alkalmazási esettel rendelkezik, mint egy szabályzat. Három alapváltozatban készül:

  • belső fejlesztésekhez,
  • beszerzésekhez,
  • fejlesztő cégek számára.

Minden variáció közös modulokból épül fel, a modulok készletében és szövegezésében különbözik. A teljes szabályzatrendeszer részei:

  • általános szabályzat;
  • technológia-specifikus modulok;
  • kockázati besorolás kalkulátora;
  • szerződés-kiegészítés template;
  • oktatási előírások.

Egy konkrét SeQA változat a felhasználó vállalat vagy fejlesztőcég egyedi igényei szerint alakítható ki.

A szabályzat tartalmát a nyújtott megoldásokon keresztül tagoltan mutatjuk be:

Termék-minőség és fejlesztési folyamat szabályozása

A SeQA központi dokumentuma az általános szabályzat, mely a szoftver-fejlesztési technológiától független követelményeket fogalmaz meg két modulban:

  • A szoftverrel, mint termékkel, szembeni követelmények – a szabályzat ebben a modulban írja elő a szoftver elvárt sérülékenységmentességét és egyéb biztonsági minőségi kritériumait. A konkrét sérülékenységmentességi követelmény (pl. OWASP Top 10, CWE25) a szoftver átadás-átvételének objektív feltételévé válik (a megfelelő technológia-specifikus modullal együtt – lásd lentebb).
  • A fejlesztési folyamattal szembeni követelmények – mely modulban a tervezéstől a kódoláson át a tesztelésig beépítendő intézkedéseket határozza meg a szabályzat. Ezek az intézkedések segítik a biztonsági minőség elérését. (Az intézkedések mélysége a kockázati besorolástól függően 3 szinten lett meghatározva – lásd lentebb).

A fenti két követelménykör adja a szabályzat egy-egy fő fejezetét. A csak a beszerzést szabályozó változat értelemszerűen nem kell kitérjen a fejlesztési folyamatra, hiszen tárgya a szoftver, mint teljesítés. Belső vállalati fejlesztések számára pedig éppenséggel a második modul adja a fejlesztési gyakorlat mérvadó szabályait. Egy fejlesztő cég az első modul előírásai szerinti szállítást vállalhatja a megrendelői felé, a gyártás biztonsági minőségét a fejlesztési modul betartásával biztosíthatja.

Az általános szabályzatot kiegészítő ún. technológia-specifikus modulok célja, hogy a követelmények a fejlesztésben alkalmazott technológia nyelvére, keretrendszerére és egyéb konkrétumaira legyenek lefordítva. Ilyen modulok segítik a JEE, .NET és más nagyvállalati technológiákkal történő biztonság-tudatos gyártást. Egy-egy fejlesztési projekt eredményével és fejlesztési folyamatával szembeni elvárások az általános szabályzatból és az alkalmazott technológiának megfelelő modulból együttesen olvashatók ki.

Legfőképpen a belső vállalati fejlesztések szabályozásában fontos eszköz a SeQA kockázati besorolási kalkulátor, mely néhány kiemelt ismérv alapján 3 kategóriába sorol be egy-egy alkalmazást: mérsékelt, közepes, kiemelt. E besorolástól függ, hogy az adott alkalmazás fejlesztési folyamatában a szabályzat által előírt intézkedések milyen szintű csomagját kell teljesíteni:

Mérsékelt besorolás esetén az alapszintű sérülékenységmentesség és alapszintű biztonságtudatosság az elvárás. Közepes (általános) szinten néhány módszeres intézkedést kell alkalmazni (szakértő bevonása a tervezésbe, biztonsági felelős kinevezése a fejlesztői csapatban, sérülékenységvizsgálat elvégzése szállítás előtt, stb.). Kiemelt kockázati szinten pedig a fejlesztés teljes időtartamában kell a szoftver biztonsági minőségéről gondoskodni a megadott módszertant követve.

Szerződéses garanciák, garanciális hibajavítás

Beszállítók, azaz külső fejlesztőcégek esetén, a biztonság-tudatos szállítást (értsd, a szabályzatrendszer alkalmazásának eredményességét) a szerződés-kiegészítés hivatott garantálni az ügyfél felé, ez jogilag kötelező formába önti a fenti szakmai követelményeket.

A szerződéses szinten számonkért elvárások szorítkozhatnak a jól definált szérülékenységektől való mentesség vállalására, vagy kiterjedhetnek a biztonságtudatos fejlesztési eljárások betartásának vállalására. A SeQA ezen célkitűzéseknek megfelelő szövegsablonokat ad, melyekből kevés ráfordítással elkészíthető a fejlesztői és támogatói szerződések kiegészítése.

A SeQA szerződéskiegészítés megoldja, hogy a biztonsági hibákat (melyek több rokonságot mutatnak a rejtett hibákkal) kiemeljük a funkcionális és egyéb hibákkal való közös szabályozás köréből. A felhasználó vállalat így a rövid garanciális időszaknál jóval hosszabb távon számon tudja kérni a biztonsági hibák azonnali javítását, például a támogatás részeként.

Beszerzési követelmények

Ma még nem elterjedt annak gyakorlata, hogy a vállalatok precízen meghatározzák az általuk megrendelni kívánt szoftver elvárt biztonsági minőségét, sérülékenységmentességét. A SeQA szabályzat-rendszer megadja azon lehetséges követelményhalmazt, amit a beszerzésnek érdemes kiírnia a pályázók felé. Ezen követelmények a SeQA szerződés-kiegészítésen keresztül az átadás-átvételbe és a későbbi hibajavításba épülnek bele.

Oktatás

A biztonságos szoftverek fejlesztésének alapja a fejlesztés résztvevőinek biztonságtudatos gondolkodása, és a megfelelő szakismeretek megléte, ezért a fejlesztés valamennyi résztvevőjének rendszeresen megfelelő oktatáson kell részt vennie, hogy az IT biztonság alapjairól és trendjeiről informálva legyen. A SeQA szabályzatrendszerben éppen ezért az oktatási előírások is külön dokumentumot képeznek. A Cloudbreaker az oktatási előírások szabályzatba foglalásán túl ezen oktatásoknak egy részét nyújtani is tudja. Lásd alább az Oktatási szolgáltatások c. alfejezetet.

Egyedi SeQA szabályzat, személyreszabás

Az AppSec szabályok akkor működnek, ha be vannak illesztve az alkalmazó szervezet (legyen az megrendelő vagy fejlesztő) gyakorlatába, fejlesztési vagy beszerzési folyamataiba, össze vannak varrva a fejlesztést vagy beszerzést szabályozó dokumentumokkal, a szervezet által alkalmazott szóhasználattal élnek. Az AppSec szabályoknak ki kell térniük a konkrétumokra: az alkalmazott szoftver architektúrára és technológiákra. A SeQa szabályzat “dobozos” változatát ezért érdemes egyedi szolgáltatás keretében minél pontosabban összeilleszteni a meglévő gyakorlattal.

Fejlesztői/támogatási szerződés személyreszabása

A fentebb leírt SeQA fejlesztési és támogatási szerződéskiegészítés – egy generikus sablon, mely önmagában is jól illeszkedik a legtöbb vállalati szerződéses sztenderdhez. A generikus sablon akár a vállalati jogászok, akár a dr. Dudás Ágnes irodája szakértő közreműködése révén nagyon precízen is illeszthető a konkrét vállalati sztenderdhez, vagy egy-egy fejlesztési projekt specifikumaihoz.

Fejlesztési projekthez illő egyedi SeQA szabályzat

A SeQA szabályzat szűkített változatban alkalmazható egy-egy fejlesztési projekt AppSec szabályait megadó dokumentumaként. Az ilyen megoldáshoz készült SeQA variánsból kiindulva készíthető egy egyedi biztonsági szabályzat a fejlesztési feladat felmérése alapján (a biztonsági minőségi követelményeket és a fejlesztési folyamatba illő AppSec intézkedéseket rögzítve).

Az AppSec szabályok teljesítésének auditja

Az AppSec szabályzatunk leírása során az előző alfejezetekkel a SeQA szabályzat-rendszer ismertetéséből áttértünk a kapcsolódó szolgáltatások, az egyedi megoldások körébe. Ezek lezárásaképpen (és a SeQA-tól független szolgáltatásainkra való áttérés előtt) érdemes megemlíteni, hogy az AppSec szabályok intézményesítése ugyan önmagában már egy eredmény, de nyilván az általános gyakorlati betartása lenne az igazi cél.

Az előírt intézkedések betartásának visszaellenőrzése fontos feladat lehet, mely akár a szabályzat-készítő szakembereinek bevonásával is elvégezhető vagy a vállalati biztonsági konzorciumunk más tagjaival. Gondoljunk itt például a saját kód hibamentességi kritériumainak utólagos tesztelésére, a technológia-specifikus előírásainak betartására, a külső komponensek választási feltételeinek teljesülésére, a szabványok betartására, a dokumentálás felülvizsgálatára, a hibajegykezelési előírások betartásának ellenőrzésére, stb. Szakértő módon vizsgálni érdemes továbbá a fejlesztési folyamat során elvárt (pl. SSDL) tevékenységek végrehajtását.

Az audit során vizsgálható az AppSec gyakorlat szervezeti adoptációja, vagy vizsgálható egy-egy projekt AppSec megfelelősége.


AppSec oktatás

Biztonságos kódolás oktatása

A sérülékeny alkalmazások legtöbb esetben azért keletkeznek, mert a fejlesztők nincsenek tudatában az aktuális tipikus sérülékenységeknek, illetve ezek elkerülésének (általában egyszerű) módjairól. Tapasztalataink szerint egy fejlesztő az általa használt technológiákkal kapcsolatos biztonságos fejlesztési praktikákat igen szívesen tanulja meg – tehát a biztonsági problémák egyik fő forrásának kezelésére kézenfekvő, egyszerű és HRM szempontból is hozadékokkal szolgál. A Cloudbreaker egy elismert fejlesztői műhely alapjain jött létre, így oktatóink megfelelő kompetenciával és authoritással teremtik meg a tanulási atmoszférát.

Egy a biztonságos kódolásról szóló tanfolyam központi témája egy-egy alkalmazásban lévő fejlesztői technológia (pl. JEE, .NET, PHP), ez egy-két fél délutánt betöltő anyag. Az oktatás során a fejlesztők elsajátíthatják továbbá a biztonságos szoftverfejlesztés alapjait, az ahhoz szükséges gondolkodásmódot.

Külön megemlítendő az az oktatás, amit a fejlesztési csapatok egy-egy kiválasztott tagjának adunk, lásd lentebb mint Security champion képzés.

Tematikus tanfolyamok

  • Általános IT biztonságtudatosság
  • Biztonságos webfejlesztés
  • Biztonságos fejlesztés .NET-ben
  • Biztonságos kódolás Java-ban
  • Biztonságos kódolás PHP-ban
  • Webes alkalmazások biztonsági tesztelése
  • MS SDL oktatás

Tehát az általunk nyújtott oktatás nem korlátozódik a biztonságos kódolásra. A képzési tematikánkban van a kódelemzés, penetrácis tesztek, biztonsági auditok is. Szívesen adjuk tovább a tanácsadói és ethical hacking ismereteinket.

Vállalati biztonságtudatosság evangelizáció

A fent említett ‘Általános IT biztonságtudatosság’ tematika nem csak a fejlesztőknek szól, az információbiztonsági ismeretek növelése nem csak számukra lehet hiánypótló oktatás. A nagyvállalati szoftverek biztonsági problémái egyaránt kötődnek ahhoz is, hogy a megrendelői oldal sem elegendően biztonságtudatos.

Oktatási és belső PR partnereinkkel karöltve törekszünk arra, hogy érthetővé tegyük az összes érintett fél számára az alkalmazás-biztonsággal és a kockázataival kapcsolatos ismereteket, illetve terjesszük a problémához való felelős hozzáállást. Az oktatáson felül itt fontos intézkedési irány az is, hogy a biztonság-tudatosság gyökeret verjen a szervezetben és zsigeri módon hassa át az érintettek tevékenységét.

AppSec szolgáltatás/tanácsadás

Fejleszési projektek kiegészítése biztonsággal

A SeQA összetett rendszert ad az alkalmazás-biztonsági gyakorlat szervezeti telepítésére és működtetésére. A szabályzatban előírt intézkedéseket az ügyfelek implementálhatják önállóan is, de igénybe vehetik a Cloudbreaker vagy más tanácsadók segítségét a feladatok kivitelezésében. Az alább ismertetett szolgáltatásaink kiegészítik a szabályzat-rendszer alkalmazását.

A szolgáltatásaink önállóan is igénybe vehetők egy-egy fejlesztési projekt során (legyen az külső vagy belső fejlesztés), mint annak AppSec szakértői támogatása:

Threat modeling

A megfelelő védelem felépítésének alapja a fenyegetettségek, támadási lehetőségek részletes felmérése, átgondolása, az ehhez kapcsolódó védelmi technikák azonosítása.

Ezt a szakértői szolgáltatásunkat erősen javasoljuk egy fejlesztési projekt tervezési szakaszában igénybevenni. Lehet szűkös a budget, de elfogadhatatlan legalább egy konzultáció erejéig nem kikérni egy biztonsághoz, pontosabban támadáshoz értő fél véleményét. A biztonsági minőség magas szintű kezelése esetén pedig egy módszeresebb threat modeling eredményére is támaszkodhatunk.

Architektúra tanácsadás

Alkalmazás-biztonsági kompetenciát minimum a szoftver tervezési fázisában igénybe kell venni. Egy tapasztalt biztonsági szakértő részvétele az architektúra csapatban garantálja, hogy a biztonsági szempontok általában érvényre jussanak a tervezési döntésekben, továbbá azt, hogy a biztonsági funkcionalitás megtervezése magas szakmai színvonalon valósuljon meg.

Security champion képzés

Security champion bevetését javasolja az általunk propagált MS SDL biztonságos fejlesztési folyamatról szóló módszertan is. Féreértés elkerülése végett: ő nem egy biztonsági szakértő, hanem a fejlesztői csapat egy törzsembere, aki a fejlesztés mindennapjaiban, pl. a tervezési és értékelési megbeszéléseken, minden előkészítési és döntési pillanatban képviselni fogja a biztonsági szempontokat.

Ehhez az adott személynek elkötelezett módon kell elvégeznie a biztonsági oktatásokat, illetve meg kell kapnia egy rövid képzést a felelős szerepe gyakorlásához.

A fejlesztésbe épített biztonsági tesztelés

Ahogyan még másfél évtizeddel ezelőtt a fejlesztő műhelyek és a megrendelők nehezen fogadták be, hogy a minőségbiztosítás és tesztelés a fejlesztési folyamat komoly, önálló szakértelmet igénylő szelete, úgyanolyan nehezen találja ma még a megfelelő helyét és súlyát a biztonsági tesztelés.

Célunk, hogy segítsük beépíteni a biztonsági minőségre vonatkozó teszteseteket a tesztelési forgatókönyvekbe illetve a folyamatos integráció (CI) részévé tegyük a biztonsági követelmények ellenőrzését.

SSDL gyarkolatok, munkafolyamatok tervezése

A biztonságos szoftverfejlesztés integrálása egy vállalat fejlesztési kultúrájába, amely lehetővé teszi, hogy a tervezéstől az üzemeltetésig minden szakaszban kellő figyelmet kapjon a biztonságosság. Szakértői anyagaink segítségével az SSDL gyakorlatok a vállalati fejlesztési platformokra (JEE, .NET, stb.) implementálhatóak.

Megerősített fejlesztési környezet

A biztonság-tudatos fejlesztés egy fontos aspektusa az is, hogy a fejlesztés és szállítás biztonsági szempontok alapján megerősített és kontrollált környezeten belül folyjon. Az ide tartozó intézkedések célja az, hogy a készülő forráskód ne legyen elérhető illetéktelenek számára, illetve kizárható legyen a kód illetéktelenek által történő módosítása.

Egyéb AppSec intézkedések tervezése és támogatása

SeQA szabályzattal, az elvégzett szakértői munkáinkkal, az évtizedes fejlesztői és az eredményes ethical hacker múltunkkal a hátunk mögött megfelelő biztonsági tanácsadó szereplői lehetünk egy nagyvállalati szoftverfejlesztési folyamatnak.

Szabályzatok, útmutatók, technikai segédanyagok készítése

Segítünk kialakítani a szükséges biztonsági szabályzatokat, fejlesztési útmutatókat és egyéb technikai segédanyagokat, melyek kisegítik a vállalatokat a megfelelőség-ellenőrzések során, illetve valóban megfeleltetik a fejlesztést az iparági biztonsági és egyéb előírásoknak (pl. PCI DSS, MIBÉTS, PSZÁF).

Audit

Ha az AppSec/SSA (preventív) megközelítést alkalmazzuk, akkor az alábbi audit szolgáltatásainkat a fejlesztési folyamatba kell építeni, a tesztelési fázisba vagy az átadás előtti olyan szakaszba, ahol még van idő a javítások visszavezetésére a szállítandó alkalmazásba a tesztelési, szállítási protokoll megsértése nélkül is. Élesbe ment alkalmazások auditja akkor célszerű, ha a felülvizsgálat eredményeit a fejlesztő rövid hibajavítási cikluson belül, elfogadható ráfordítások árán vagy garanciális alapon tudja biztosítani.

Code review

Cloudbreaker társaság a white-box vizsgálatok híve. Ezen belül mindig javasoljuk ügyfeleinknek, hogy jobb esetben a készülőben lévő vagy rosszabb esetben a végső tesztelés fázisába jutott szoftver kódját vizsgáltassa meg szakértőnkkel. A code review tárgya általában nem az egész forráskód. Vizsgálódásunk fókuszába kerülő aspektusok az alábbiak:

  • a biztonsági funkcionalitás architektúra szintű megvalósítása,
  • a biztonsági funkciók konkrét implementációja,
  • az alkalmazás/rendszer sebezhetőnek vélt részeinek vizsgálata.

A code review ideális esetben a fejlesztőkkel való közvetlen kapcsolatban zajlik: interjúvoljuk a fejlesztőt a kóddal kapcsolatban, elmagyarázzuk az esetleges gyengeségek, tévedések gyógyításának módját, visszaellenőrizzük a javításokat.

Átadás-átvétel előtti sérülékenységvizsgálat és tanúsítás

A kontroll jellegű és nagyobb lélegzetvételű sérülékenységvizsgálatokat szakosodott partnerünk, a whiteshield végzi.

Dokumentáció felülvizsgálata

Telepítési és üzemeltetési dokumentáció felülvizsgálata a biztonságos üzemeltethetőség szempontjai szerint.


Rólunk, történetünk

A Cloudbreaker társaság a vállalati szoftverek biztonsági minőségének szakértőit tömöríti. A társaság nem egy önálló jogi entitás, hanem az azd.security Kft-nek az alkalmazásbiztonság, fejlesztési tanácsadás és sérülékenységvizsgálat tevékenységekkel foglalkozó üzletága. Az azd.security közel egy évtizedig jMind néven volt ismert a nagyvállalati biztonsági megoldások terén mint hozzáférés-védelmi és jogosultság kezelési rendszerek fejlesztője, melynek identity management szoftvere az innovatív módszertani megoldásért rangos európai kiválósági díjat is kapott 2008-ban.

Referenciáink

AEGON Biztosító, AEGONdirekt.hu, Foxconn, Országleltár.gov.hu, EUB.

A társaság mögött álló azd.security Kft. (ex-jMind) pedig olyan referenciákkal rendelkezik a nagyvállalati biztonság területén mint: Budapest Bank, GIRO Zrt., IHM/ITKTB, Hong Kong bevándorlási hivatala.










Elérhetőségünk

The Cloudbreaker Company
+36.309225777
email:  santa // cloudbreaker.co
levél:  azd.security Kft., Budapest,
1146, Ajtósi Dürer sor 19-21.,
Professzorok háza, 3. em.

Social oldalaink:

 -- mikroblog és videók

Ossza meg oldalunkat: