Saugiojo Kodo Auditas (Source Code Review)

Giliausia įmanoma saugumo analizė. Tikrinu aplikacijos architektūrą, logiką ir trečiųjų šalių bibliotekas, kad rasčiau spragas, kurios nematomos iš išorės. Žiūrėti kainas

Giluminė kodo analizė

Automatizuoti skeneriai randa tik paviršutiniškas problemas. Rankinė kodo peržiūra atskleidžia verslo logikos spragas, kurios gali leisti apeiti saugumo kontrolę.

Supply Chain auditas

Tikrinu ne tik jūsų kodą, bet ir naudojamų trečiųjų šalių bibliotekų saugumą. Šiandien daugiau nei 70% kodo sudaro importuotos bibliotekos.

OWASP Top 10 atitiktis

Audito procesas remiasi naujausiomis saugumo praktikomis ir OWASP gairėmis, užtikrinant

Saugiojo kodo auditas - tai rankinis ir pusiau automatizuotas procesas, kurio metu gilinamės į jūsų sistemos „DNR". Analizuojame ne tik kaip kodas parašytas, bet ir kaip jis veikia verslo logikos lygmenyje.

Paslaugų paketai ir investicija

Kaina priklauso nuo projekto sudėtingumo, kodo eilučių skaičiaus (LOC) ir naudojamų karkasų.

Komponento Auditas

850 - 1600 € / projektas

Idealus pasirinkimas, kai reikia patikrinti specifinį API, naują modulį, mokėjimo integraciją ar įskiepį (Plugin).

  • Apimtis: Iki ~5,000 kodo eilučių.
  • Fokusas: Įvesties validacija, SQL/NoSQL injekcijos.
  • Metodas: SAST analizė + Eksperto peržiūra.
  • Ataskaita su konkrečiais kodo pataisymais.
Pasirinkti
Rekomenduojama

Web Aplikacija

2800 - 5500 € / projektas

Išsami tipinės verslo sistemos, SaaS platformos ar el. parduotuvės analizė. Tikrinama visa kodo bazė.

  • Apimtis: Iki ~50,000 kodo eilučių.
  • Fokusas: Verslo logika, prieigos kontrolė (IDOR), sesijos.
  • Supply Chain: Naudojamų bibliotekų saugumo analizė.
  • Pokalbis su programuotojais ir taisymo planas.
Pasirinkti

Enterprise / Fintech

nuo 6500 € / projektas

Sudėtingoms, aukštos rizikos sistemoms. Skirta pasiruošti auditams, GDPR atitikčiai ar apsaugoti kritinius duomenis.

  • Apimtis: Neribota (pagal susitarimą).
  • Fokusas: Architektūrinės spragos, kriptografija, API sauga.
  • Gylis: "Zero-day" paieška, rankinis "Trace analysis".
  • Įskaičiuotas pakartotinis tikrinimas (Retest).
Pasirinkti

Ką tikriname?

Mūsų audito metodika remiasi naujausiomis saugumo praktikomis ir apima šias kritines sritis:

Prieigos kontrolės klaidos

Ar paprastas vartotojas gali matyti administratoriaus duomenis? Ar pakeitus ID URL adrese galima pasiekti kito kliento sąskaitas? Tai dažniausia ir pavojingiausia spraga.

Saugumo konfigūracijos klaidos

Ar kode palikti testiniai vartotojai? Ar "debug" režimas įjungtas produkcinėje aplinkoje? Ar debesijos (Cloud) saugyklos atviros viešai?

Injekcijos

Klasikinės, bet vis dar pavojingos spragos: SQL, NoSQL, OS Command injekcijos. Tikriname, ar visi vartotojo įvesti duomenys yra tinkamai išvalomi ir validuojami.

Tiekimo grandinės spragos

Šiuolaikinis kodas naudoja šimtus bibliotekų (npm, pip, composer). Mes tikriname, ar jūsų naudojami išoriniai komponentai neturi žinomų pažeidžiamumų ar kenkėjiško kodo.

Kriptografinės klaidos

Ar slaptažodžiai „hashuojami" naudojant senus algoritmus (pvz., MD5)? Ar jautrūs duomenys perduodami be šifravimo? Ar raktai saugomi tiesiai kode (Hardcoded secrets)?

Nesaugus dizainas

Tai klaidos ne pačiame kode, o sistemos architektūroje. Pavyzdžiui, ar sistema leidžia neribotą kiekį bandymų spėlioti slaptažodį? Ar verslo logika leidžia apeiti mokėjimo žingsnius?

Ištaisykite klaidas, kol jos netapo incidentais

Saugus kodas yra pigesnis nei duomenų nutekėjimo valdymas. Susisiekite dėl jūsų projekto įvertinimo.

Gauti pasiūlymą