Audyt bezpieczeństwa kodu źródłowego
Ręcznie i automatycznie sprawdzamy Twój kod pod katem luk SQL Injection, XSS czy błędów w logice. Dostajesz raport z konkretnymi instrukcjami naprawy dla programistów. Nie oceniamy stylu pisania, tylko bezpieczeństwo aplikacji.
Jak sprawdzamy bezpieczeństwo Twojej aplikacji?
Pracę zaczynamy od pobrania kodu do naszego zabezpieczonego środowiska w biurze przy ulicy Sienkiewicza. W lipcu 2024 roku skończyliśmy analizę dla lokalnej hurtowni, gdzie sprawdzenie 16 tysięcy linii kodu zajęło nam dokładnie 6 dni roboczych. Nie obciążamy Twoich serwerów produkcyjnych. Działamy na kopiach, więc Twoi programiści mogą normalnie pracować nad nowymi funkcjami. Łączymy skanowanie automatyczne z ręcznym przeglądem najważniejszych funkcji, takich jak logowanie, płatności czy formularze kontaktowe.
Skupiamy się na błędach, których nie wykryją proste programy. Automaty często pomijają luki w logice biznesowej. Przykładowo, w zeszłym kwartale znaleźliśmy 9 błędów w systemach CRM, które pozwalały jednemu użytkownikowi podejrzeć faktury innego klienta poprzez prostą zmianę cyfry w adresie przeglądarki. Takie przeoczenia są najgroźniejsze, bo nie zostawiają śladów w typowych logach bezpieczeństwa. My je wyłapujemy, zanim zrobi to ktoś niepowołany.
Co konkretnie zawiera nasz raport techniczny?
Po zakończeniu audytu przekazujemy dokument PDF, który ma zwykle od 14 do 28 stron konkretnej wiedzy. Nie znajdziesz tam lania wody o ogólnym bezpieczeństwie. Każda znaleziona dziura w kodzie ma swój opis, zrzut ekranu oraz gotowy przepis na naprawę. Raport dzielimy na sekcje według stopnia zagrożenia, aby Twoi deweloperzy wiedzieli, co załatać w pierwszej kolejności, a co może poczekać do następnego sprintu.
- Dokładna lokalizacja błędu (plik i numer linii kodu).
- Instrukcja, jak wywołać dany błąd (tzw. Proof of Concept).
- Gotowy fragment kodu do wklejenia, który usuwa podatność.
- Ocena ryzyka w skali 1-10 na podstawie standardów OWASP.
- Lista bibliotek zewnętrznych, które wymagają pilnej aktualizacji.
Standardowy czas wykonania audytu dla średniej wielkości serwisu to 8 dni roboczych. Od 2019 roku, odkąd The SpyBolt działa w Kielcach, sprawdziliśmy 42 aplikacje webowe i mobilne. Zawsze trzymamy się ustalonych terminów. Jeśli umówimy się na piątek na godzinę 14:00, to raport będzie czekał na Twojej skrzynce e-mail dokładnie o tej porze. Nie stosujemy ukrytych kosztów – cena, którą ustalimy na początku, pozostaje niezmienna do końca projektu.
The SpyBolt to mała grupa 6 specjalistów, a nie wielka korporacja. Dzięki temu masz bezpośredni kontakt z osobą, która analizowała Twoje pliki. Jeśli Twój programista nie rozumie jakiegoś punktu w raporcie, może do nas po prostu zadzwonić. Wyjaśnimy wszystko przez telefon w 10-15 minut lub zrobimy krótkie spotkanie online. Odpowiadamy na bieżące pytania techniczne zazwyczaj w ciągu 2.5 godziny, bo wiemy, że czas przy łataniu dziur jest kluczowy dla Twojego biznesu.