מהו סקר קוד מאובטח?

סקירת קוד מאובטח הינו תהליך של מעבר על קוד המקור עבור היישום על מנת לוודא כי קיימות בקרות אבטחה, כי בקרות האבטחה פועלות כמתוכנן וכן כי הבקרות בוצעו בכל המקומות בהם יש לבצעם.

 

ערך מוסף של סקר קוד מאובטח:

תכנון ויישום של סקר קוד מאובטח הינה משימה קשה. לעיתים רחוקות לכותבי היישום קיימת המומחיות הנדרשת או  הזמן להשקיע באבטחת היישום. כתוצאה מכך ליישומים קיימות פגיעויות רבות אשר יש להן השלכות חמורות על אבטחת המערכת. פגיעויות תיכנות אלה עלולות לאפשר למשתמשי מערכת חוקיים וכן לתוקפים חיצוניים לבצע פעולות לא מורשות.

על ידי ניצול פגיעות אבטחה מסוג זה (בין אם פנימית או חיצונית) ישויות זדוניות עלולות לגרום להפרות אבטחה ולפגיעה בזמינות המידע, בשלמותו ובסודיות המידע. סקר קוד מאובטח מאפשר לזהות איומים פוטנציאליים המשולבים ברמת קוד המערכת ולהפחית אותם בשלבי הפיתוח המוקדמים של המערכת.

 

בעיית הלקוח:

על פי מחקרים, מפתחים יוצרים 3 פגיעויות בכל 10,000 שורות קוד בממוצע. משמעות הדבר היא כי קיימים 15 פגיעויות במערכת קטנה של 50,000 שורות קוד ויותר מ 300 פגיעויות במערכת גדולה של מיליון שורות קוד!!!

 במרבית מן המקרים מתבצעת בדיקת אבטחה לאחר השלמת הפיתוח. ההפחתה בשלב זה הינה יקרה ובמקרים מסוימים אף מעכבת את תאריך היעד לקידום המערכת / גרסה לסביבת הייצור.

 במערכות גדולות יכולות להיות מאות נקודות תורפה. ברוב המקרים בדיקת חדירה תגלה רק מדגם קטן עבור כל סוג של פגיעות. לדוגמה, דוח מבדק חדירה יציין פגיעות כגון XSS. עם זאת, מבדק חדירה ברוב המוחלט של המקרים לא יזהה את כל המופעים של פגיעות זו בקוד ובמיקומם המדויק וכתוצאה מכך יתכן וקיימים מופעים נוספים אשר לא זוהו במבדק החדירה

 

פתרון:

סקר קוד מאובטח – באמצעות כלים אוטומטיים, קומסק מספקת אפשרות סריקת מספר רב של שורות קוד. יתר על כן, בדיקת קוד האבטחה יכולה גם להתבצע באופן ידני ובשלבים המוקדמים לפני פריסת המערכת לסביבת הייצור, (גם במידה וקיים רק חלק מן הקוד ואף במקרה שהקוד אינו מהודר). בסקירה זו ניתן לאתר את המיקום המדויק של הפגיעות בקוד המקור ולמצוא את הקוד הספציפי הגורם לבעיה.

 

יתרונות:

 מקצועיות – קומסק מעסיקה צוות מומחים המתמקד בפרויקטים של סקירת קוד אבטחה.

 ניסיון – אנו סורקים מיליוני שורות קוד בכל חודש ויש לנו 20 שנות ניסיון בביצוע סקירת קוד
       מאובטח.

 היענות – אנחנו יכולים להתחיל לעבוד בהתראה קצרה מאוד.

 יעילות – המתודולוגיה שלנו מבוססת על שנים רבות של ניסיון מוכח ומאפשרת לנו לבצע ביקורת
   יעילה, אשר חוסכת זמן וכסף.

 שירות מקצה לקצה – כשותפים שלך אנחנו חלק מהתהליך:

o ייעוץ בצורך לביצוע הבקרות.

o ייעוץ בהיקף הנדרש לסקירה.

o סיוע בהבנת המשמעות כמו גם הסיכונים המגולמים בפגיעויות שנמצאו.

o סיוע בפתרונות המאפשרים להפחית ולמנוע את הפגיעויות הקיימות.

 

שיתוף ב linkedin
שיתוף ב facebook
שיתוף ב twitter

Contact us

סגירת תפריט