Per un CMS PHP, che cosa dovrei aspettarmi dal budget per un controllo di sicurezza, sia whitebox che blackbox? Il codebase è circa 85.000 LOC ("Linee di codice") e probabilmente utilizzerei un'azienda nordamericana per i test. Non ho davvero idea se un audit costerebbe $ 10-20k o oltre $ 100k. Non sto chiedendo una citazione esatta, solo una stima generale per sapere cosa aspettarmi. Se fosse possibile separare le stime tra blackbox e whitebox, sarebbe anche utile.
Modifica :
Proverò ad elencare tutti i fattori possibili.
- Tipo di app: una gestione del contenuto web sistema simile a Wordpress, Joomla, o Drupal.
- Tipi di test: ampia penetrazione test e una scansione per comune vulnerabilità. Revisione del codice per vulnerabilità aggiuntive come il codice sorgente sarà pubblico disponibili.
- LOC: circa 85.000.
- Lingue: PHP, JavaScript.
- Destinatari del rapporto: sviluppatori.
- Ubicazione del test: può essere fatto da remoto.
- I ruoli utente sono variabili. Sono assegnati a gruppi e a ciascun gruppo può essere assegnato un numero qualsiasi di autorizzazioni. È possibile creare qualsiasi numero di gruppi.
Non so quali altre informazioni potrebbero essere rilevanti. Davvero, non sto cercando un numero ultra-specifico, solo una figura del campo di gioco tipo "Sulla base delle informazioni che hai fornito, potresti probabilmente aspettarti un budget tra $ X e $ X per un controllo di sicurezza." Anche solo un prezzo di base sarebbe estremamente utile dato che non ho proprio idea di cosa aspettarmi.