Giluminė kodo analizė
Automatizuoti skeneriai randa tik paviršutiniškas problemas. Rankinė kodo peržiūra atskleidžia verslo logikos spragas, kurios gali leisti apeiti saugumo kontrolę.
Supply Chain auditas
Tikrinu ne tik jūsų kodą, bet ir naudojamų trečiųjų šalių bibliotekų saugumą. Šiandien daugiau nei 70% kodo sudaro importuotos bibliotekos.
OWASP Top 10 atitiktis
Audito procesas remiasi naujausiomis saugumo praktikomis ir OWASP gairėmis, užtikrinant visapusišką sistemos saugumo įvertinimą.
Saugiojo kodo auditas – tai rankinis ir pusiau automatizuotas procesas, kurio metu gilinamės į jūsų sistemos „DNR". Analizuojame ne tik kaip kodas parašytas, bet ir kaip jis veikia verslo logikos lygmenyje.
Tai ypač svarbu sistemoms, kurios saugo asmens duomenis, finansinę informaciją arba yra kritinės verslo tęstinumui. Vidutinė spraga programiniame kode kainuoja įmonei nuo 4,000€ iki 25,000€.
Paslaugų paketai ir investicija
Kaina priklauso nuo projekto sudėtingumo, kodo eilučių skaičiaus (LOC) ir naudojamų karkasų.
Komponento Auditas
850 - 1600 € / vnt.
Trukmė: 3 - 5 d.d.Idealus pasirinkimas, kai reikia patikrinti specifinį API, naują modulį, mokėjimo integraciją ar įskiepį (Plugin).
- Apimtis: Iki ~5,000 kodo eilučių.
- Fokusas: Įvesties validacija, SQL/NoSQL injekcijos.
- Metodas: SAST analizė + Eksperto peržiūra.
- Ataskaita su konkrečiais kodo pataisymais.
PasirinktiRekomenduojama
Web Aplikacija
2800 - 5500 € / projektas
Trukmė: 2 - 3 savaitėsIšsami tipinės verslo sistemos, SaaS platformos ar el. parduotuvės analizė. Tikrinama visa kodo bazė.
- Apimtis: Iki ~50,000 kodo eilučių.
- Fokusas: Verslo logika, prieigos kontrolė (IDOR), sesijos.
- Supply Chain: Naudojamų bibliotekų saugumo analizė.
- Pokalbis su programuotojais ir taisymo planas.
PasirinktiEnterprise / Fintech
nuo 6500 € / projektas
Trukmė: 4+ savaitėsSudėtingoms, aukštos rizikos sistemoms. Skirta pasiruošti auditams, GDPR atitikčiai ar apsaugoti kritinius duomenis.
- Apimtis: Neribota (pagal susitarimą).
- Fokusas: Architektūrinės spragos, kriptografija, API sauga.
- Gylis: "Zero-day" paieška, rankinis "Trace analysis".
- Įskaičiuotas pakartotinis tikrinimas (Retest).
PasirinktiKą tikriname?
Mūsų audito metodika remiasi naujausiomis saugumo praktikomis ir apima šias kritines sritis:
Prieigos kontrolės klaidos
Ar paprastas vartotojas gali matyti administratoriaus duomenis? Ar pakeitus ID URL adrese galima pasiekti kito kliento sąskaitas? Tai dažniausia ir pavojingiausia spraga.
Saugumo konfigūracijos klaidos
Ar kode palikti testiniai vartotojai? Ar "debug" režimas įjungtas produkcinėje aplinkoje? Ar debesijos (Cloud) saugyklos atviros viešai?
Tiekimo grandinės spragos
Šiuolaikinis kodas naudoja šimtus bibliotekų (npm, pip, composer). Mes tikriname, ar jūsų naudojami išoriniai komponentai neturi žinomų pažeidžiamumų ar kenkėjiško kodo.
Kriptografinės klaidos
Ar slaptažodžiai „hashuojami" naudojant senus algoritmus (pvz., MD5)? Ar jautrūs duomenys perduodami be šifravimo? Ar raktai saugomi tiesiai kode (Hardcoded secrets)?
Injekcijos
Klasikinės, bet vis dar pavojingos spragos: SQL, NoSQL, OS Command injekcijos. Tikriname, ar visi vartotojo įvesti duomenys yra tinkamai išvalomi ir validuojami.
Nesaugus dizainas
Tai klaidos ne pačiame kode, o sistemos architektūroje. Pavyzdžiui, ar sistema leidžia neribotą kiekį bandymų spėlioti slaptažodį? Ar verslo logika leidžia apeiti mokėjimo žingsnius?
Greita reakcija
Kritinės rizikos spragos pranešamos nedelsiant, nelaukiant viso audito pabaigos.
Aiškios rekomendacijos
Kiekviena rasta spraga pateikiama su konkrečiu pavyzdžiu ir pataisymo pasiūlymu.
Pakartotinis tikrinimas
Po pataisymų atliekame pakartotinį testavimą, kad įsitikintume, jog visos spragos ištaisytos teisingai.