Vamos ao fundo da questão, para prevenirmos futuros problemas!
A análise de código fonte é uma das formas mais eficientes para reduzir o número de vulnerabilidades nos sistemas desenvolvidos, preferencialmente antes da sua entrada em produção. Combinamos ferramentas automáticas com processos de validação manuais para analisar rapidamente, mas de forma eficiente, milhares de linhas de código.
Para quê analisar o código fonte?
O ciclo de desenvolvimento de um produto deve sempre integrar uma análise de segurança para identificar prematuramente falhas que possam comprometer o seu desenvolvimento. Ao examinar o código-fonte, os nossos especialistas identificam vulnerabilidades e falhas de programação que poderiam ser exploradas por atacantes para obter acesso não autorizado, roubar dados sensíveis ou comprometer o sistema.
As 4 etapas da análise
- 1 Etapa 1
Revisão e análise estática
- ▸ Análise manual de padrões inseguros
- ▸ Análise automática de vulnerabilidades conhecidas
- 2 Etapa 2
Teste dinâmico
- ▸ Testes de injeção (SQLi, XSS)
- ▸ Simulação de ataques automatizada
- 3 Etapa 3
Avaliação e mitigação
- ▸ Classificação por nível de risco
- ▸ Estratégias de mitigação priorizadas
- 4 Etapa 4
Validação contínua
- ▸ Revisão de alterações ao código
- ▸ Monitorização contínua ao longo do ciclo de vida
Como o fazemos
Análise manual
Procura de padrões de programação inseguros e uso incorreto de funções.
Análise automática
Ferramentas especializadas examinam o código em busca de falhas conhecidas.
Teste de injeção
Tentativas de exploração como SQL Injection ou Cross-Site Scripting.
Diretrizes
A CyberS3c segue os processos e diretrizes do OWASP Code Review Guide e oferece aos seus clientes o Secure Development Life Cycle (SDLC) no modelo as a service.
Segurança desde a primeira linha
Uma falha apanhada no código custa uma fração de uma falha em produção.
Ferramentas automáticas mais validação manual, segundo o OWASP Code Review Guide.
Perguntas frequentes
Quando devo fazer análise de código?
Idealmente ao longo do desenvolvimento e antes da entrada em produção. Integrar a análise de segurança no ciclo de desenvolvimento identifica falhas prematuramente, quando são mais baratas de corrigir.
Só usam ferramentas automáticas?
Não. Combinamos análise automática (rápida e abrangente) com validação manual por especialistas, que apanha o que as ferramentas não veem.
O que é o SDLC as a service?
É o acompanhamento do Secure Development Life Cycle prestado pela CyberS3c, integrando a segurança em todas as fases do desenvolvimento de forma contínua.
Que tipos de vulnerabilidades encontram?
Desde padrões de programação inseguros e uso incorreto de funções a vulnerabilidades de injeção como SQL Injection e Cross-Site Scripting, entre outras.
Interessado neste serviço?
Entre em contacto e a nossa equipa responde em menos de 24 horas.