Konkretne odpowiedzi na techniczne pytania
Zanim umówimy się na spotkanie, sprawdź fakty dotyczące kosztów, dostępu do kodu i czasu realizacji. Działamy bez lania wody.
Ile kosztuje sprawdzenie bezpieczeństwa mojego kodu?
Podstawowy audyt 3 repozytoriów to koszt 3400 zł netto. W tej cenie dostajesz pełną weryfikację i listę kroków naprawczych. Większe projekty wyceniamy po sprawdzeniu, czy używacie 8 czy 12 różnych mikroserwisów.
Jak szybko otrzymam gotowy raport?
Cały proces trwa 8 dni roboczych. Pierwsze wyniki z automatów mamy po 2 dniach, ale resztę czasu poświęcamy na ręczne odsianie fałszywych alarmów, żeby nie zawracać głowy Twoim programistom.
Czy oferujecie abonament na wsparcie?
Tak, mamy opcję stałej opieki za 4200 zł miesięcznie. W tym modelu dedykowany inżynier sprawdza do 14 pull requestów w miesiącu i monitoruje biblioteki zewnętrzne.
Czy muszę udostępnić Wam kod źródłowy?
Tak, musimy mieć wgląd w kod, żeby go przeskanować. Zazwyczaj wystarczy nam tymczasowy dostęp do GitLaba lub GitHub Actions. Pracujemy wyłącznie na serwerach wskazanych przez klienta.
Jak zabezpieczacie poufność moich projektów?
Przed jakimkolwiek wglądem podpisujemy twarde NDA. Jesteśmy 4-osobowym zespołem z Kielc i sami odpowiadamy za bezpieczeństwo Twoich danych. Nie zlecamy audytów podwykonawcom.
Gdzie przechowujecie raporty z audytów?
Dokumenty przekazujemy bezpośrednio Tobie przez szyfrowany kanał. Po zakończeniu zlecenia i potwierdzeniu odbioru, usuwamy kopie z naszych systemów roboczych.
Czy audyt nie spowolni pracy programistów?
Wręcz przeciwnie. Nasze narzędzia skracają czas naprawy błędów o 31%. Deweloperzy dostają info o luce w kodzie natychmiast po wysłaniu zmian, więc nie muszą do nich wracać po tygodniu.
Jakich technologii używacie do skanowania?
Korzystamy z narzędzi SAST, DAST i SCA. Wdrażamy też HashiCorp Vault do zarządzania sekretami. Skupiamy się na konkretnych błędach, które realnie da się wykorzystać do ataku.
Czy pomagacie przy samym naprawianiu błędów?
Dajemy precyzyjną instrukcję: numer linii, opis luki i sposób łatania. Jeśli Twój zespół potrzebuje więcej wsparcia, możemy zorganizować warsztat techniczny dla grupy do 9 osób.
Cześć – dobrze, że szukasz konkretów w temacie bezpieczeństwa.
Większość firm IT budzi się dopiero, gdy dochodzi do wycieku kluczy API lub danych klientów. W The SpyBolt działamy inaczej. Wierzymy, że bezpieczeństwo powinno być tak samo naturalne jak pisanie testów jednostkowych.
Nie jesteśmy agencją od wszystkiego. Jesteśmy grupą 4 inżynierów z Kielc, którzy specjalizują się wyłącznie w DevSecOps. Jeśli potrzebujesz kogoś, kto przeskanuje Twój kod i powie wprost, gdzie są dziury – jesteśmy do dyspozycji.
Z poważaniem,
Karol
Karol Wiśniewski
Założyciel i Inżynier