Menu

en
Úvodní Služby Implementace SSDLC

Implementace SSDLC

Slyšeli jste již známe "Security is not a product, it is a process" (bezpečnost není produkt, ale proces). Přesně proto máme službu Implementace SSDLC (Secure Software Development Lifecycle).

Jaké testy nabízíme

Konkrétní rizika,
kterých se společnost bojí

Ztráta důvěryhodnosti

Odliv
klientů

Odcizení obchodního tajemství
pc

Řada společností si pod pojmem bezpečnost představuje objednání penetračních testů několikrát do roka. To sice pomůže pro krátkodobé zlepšení situace (opravíte chyby, které Vám jsou nahlášeny), nicméně příští release se bude opakovat to samé, bez náznaku zlepšení. Na obrázku níže ilustrujeme popsanou situaci, jak je patrné, točíte se stále v kruhu.

Mnohem lepší přístup je dle nás investovat prostředky do vzdělání vývojářů a přizvání bezpečnostních konzultantů v dřívějších částech projektu. Ideálně ještě před návrhem aplikace. Důvod je patrný na grafu níže:

 

Jak je vidět, čím dříve jsou chyby odhaleny, tím levnější je jejich opravení. Když nás například přizvete k Designu aplikace, můžeme provést Threat modeling a odhalit případná rizika ještě dříve, než se napíše řádka kódu.

Když už je část aplikace napsaná, je ideální provést Source Code Review, to se dá provést v podstatě kdykoli a není třeba čekat na dokončení projektu.

Tyto kroky je ideální doplnit ještě naším odborným školením pro vývojáře, kde je naučíme, jak programovat bezpečně, na co si dát pozor a předáme jim Checklist, který budou používat při svém programování.

Díky tomuto postupu se brzy dočkáte výsledků - vývojáři budou produkovat bezpečnější software, takže nebudete muset platit tolik, za penetrační testy.

mobile

Ideální situace je, když celou spolupráci začneme zjištěním, jak jste na tom v současné situaci. K tomu používáme OpenSAMM, což je další projekt OWASPu, který umožňuje důkladné zhodnocení současné situace v následujících oblastech:

Výstupem analýzy dle OpenSAMM je seznam míst, kde si vedete dobře, i těch, kde je nutné zlepšení. Pomůže Vám sestavit i plán, podle kterého můžete postupovat.

wifi

 

Kdyby se měla služba Implementace SSDLC shrnout, vypadalo by to takto:

  • OpenSAMM
  • Školení a dodání checklistu
  • Threat Modeling
  • Source Code Review
  • Penetrační testy

Výstupem Implementace SSDLC je detailní zpráva zhodnocující současný stav IT/vývoje, plán na zlepšení v daných disciplínách, podpora vývojářů a technické penetrační testy. Tuto službu umíme zákazníkům postavit na míru tak, aby byly výstupy přínosné pro malé, střední i velké společnosti.

 

mám zájem o implementaci SSDLC
PENETRAČNÍ TESTY

Pokud jste provozovateli webových aplikací, zvažte prověření jejich zabezpečení a odolnost vůči útokům hackerů a dalším možným hrozbám.

CEO Captes s.r.o., Jan Kopecký