Записи с меткой «security code reviews»

Практический аудит безопасности программного кода электронной торговой площадки

2 комментария

Наша компания НПО «Эшелон» недавно провела комплексный аудит информационной безопасности одной из ведущих электронных торговых площадок. Особеность данного аудита информационной безопасности заключалась в том, что он включал аудит безопасности исходных текстов программных ресурсов. При этом самое серьезное внимание было уделено как тестированию, так и статическому анализу безопасности кода Web-приложений с целью выявления и анализа возможности реализации программных дефектов и уязвимостей безопасности. […]

Об оценке безопасности программного обеспечения без исходных текстов программ

1 Отзыв

На практике мы часто сталкиваемся с ситуацией, что надо провести тематические исследования безопасности ПО, не имеющего исходных кодов. До недавнего времени двумя основными подходами к решению данной проблемы были метод тестирования «черного ящика» (обычно, fuzz-тестирование) и метод реверс-инжиниринга, включающий дизассемблирование бинарного кода с попыткой восстановления логики работы исходной подпрограммы. Подходы чрезвычайно трудоемки, особенно второй. Можно […]