СЕРВИСЫ
SWORDFISH SECURITY

Анализ защищенности программного обеспечения

Общий анализ защищенности программного обеспечения с помощью применения полного спектра технологических практик

Проведение общего анализа защищенности ПО (систем, приложений, цифровых сервисов) с помощью применения полного спектра технологических практик. Работа над проектом включает в себя комплексный анализ с использованием инструментальных средств, экспертный анализ архитектуры системы и требований безопасности, а также формирование приоритетного списка обнаруженных дефектов.

Результаты проведенного анализа используются для оперативного повышения уровня защищенности ПО, для планирования программы повышения компетенций инженерных команд, а также при проектировании инженерного процесса SSDL/DevSecOps на последующих этапах.

Предпосылки:
  • Нет понимания, с чего начинать Application Security инициативу;
  • Нет информации о текущем состоянии защищенности приложений;
  • Нет понимания, какие инструменты автоматизации использовать;
  • Остальные подразделения Компании не понимают необходимость Application Security.
Результаты:
  • Определена структура технологического стека разрабатываемого ПО;
  • Определен текущий уровень защищенности приложений, идентифицированы типовые уязвимости ПО;
  • Определен потенциальный целевой инструментальный стек DevSecOps;
  • Определены потенциальный объем и рамки распространения практик SSDL.

Работы

В рамках анализа защищенности программного обеспечения выполняются следующие работы:

Анализ системных требований и архитектуры.

Анализ используемых компонент ПО с открытым исходным кодом.

Статический и динамический анализ приложений.

Экспорт бэклога дефектов системы управления дефектами Клиента.

Детальный анализ, фильтрация ложных срабатываний, корреляция обнаруженных дефектов.

Ручной динамический анализ, а также анализ критичных областей исходного кода, структур и функций обработки данных.

Наши сервисы
Обеспечивают эффективную реализацию практик информационной безопасности в Shift-Left парадигме.

Разработка стратегии внедрения практик AppSec

Формирование дорожной карты, позволяющей детально оценить весь объем практик, как технологического, так и организационно-процессного характера.

Сервис онбординга приложения в контур SSDL

Онбординг и сопровождение приложений Клиента в контуре SSDL обеспечат постоянный экспертный контроль эффективности инструментального стека.

Построение процесса DevSecOps

Построение и настройка технологического процесса DevSecOps со всеми необходимыми практиками.

Процессный консалтинг DevSecOps

Экспертная поддержка в рамках процесса модернизации текущего процесса разработки ПО при постепенной трансформации в DevOps/DevSecOps.

Есть вопросы?

Оставьте свои контакты и мы свяжемся с вами в ближайшее время!