Quanto costa un controllo di sicurezza? [chiuso]

13

Per un CMS PHP, che cosa dovrei aspettarmi dal budget per un controllo di sicurezza, sia whitebox che blackbox? Il codebase è circa 85.000 LOC ("Linee di codice") e probabilmente utilizzerei un'azienda nordamericana per i test. Non ho davvero idea se un audit costerebbe $ 10-20k o oltre $ 100k. Non sto chiedendo una citazione esatta, solo una stima generale per sapere cosa aspettarmi. Se fosse possibile separare le stime tra blackbox e whitebox, sarebbe anche utile.

Modifica :

Proverò ad elencare tutti i fattori possibili.

  • Tipo di app: una gestione del contenuto web sistema simile a Wordpress, Joomla, o Drupal.
  • Tipi di test: ampia penetrazione test e una scansione per comune vulnerabilità. Revisione del codice per vulnerabilità aggiuntive come il codice sorgente sarà pubblico disponibili.
  • LOC: circa 85.000.
  • Lingue: PHP, JavaScript.
  • Destinatari del rapporto: sviluppatori.
  • Ubicazione del test: può essere fatto da remoto.
  • I ruoli utente sono variabili. Sono assegnati a gruppi e a ciascun gruppo può essere assegnato un numero qualsiasi di autorizzazioni. È possibile creare qualsiasi numero di gruppi.

Non so quali altre informazioni potrebbero essere rilevanti. Davvero, non sto cercando un numero ultra-specifico, solo una figura del campo di gioco tipo "Sulla base delle informazioni che hai fornito, potresti probabilmente aspettarti un budget tra $ X e $ X per un controllo di sicurezza." Anche solo un prezzo di base sarebbe estremamente utile dato che non ho proprio idea di cosa aspettarmi.

    
posta VirtuosiMedia 28.11.2010 - 11:52
fonte

3 risposte

6

Ecco la mia approssimativa stima:

Revisione del codice:

1000 LOC = 1 hour
85000 LOC = 85 hours

Tariffa oraria: 100 $ / ora

85 hours * 100$/hr = 8500$

Se il tuo software utilizza un ORM e un framework MVC ben documentato, può velocizzare la revisione del codice significativamente .

    
risposta data 01.12.2010 - 01:05
fonte
3

Va bene, ci sono un numero enorme di fattori che influenzano i costi e la portata di un controllo di sicurezza, motivo per cui è così difficile darti un ballpark senza molti più dettagli sull'ambito. Ad esempio:

  • Che tipo di controllo della sicurezza fai richiedono?
  • Che cosa consideri scatola nera? E perché lo vuoi - può farlo aumentare il costo considerevolmente.
  • Stai includendo la revisione del codice?
  • In quali lingue è scritta l'app?
  • Quale pubblico deve essere il rapporto scritto per?
  • Qual è lo scopo del test?
    Conformità, audit, certificazione,
    altro?
  • Verifica in loco, a distanza, su
    live environment o test?
  • Che cosa fa l'applicazione?
  • Quanti ruoli utente esistono?
  • ecc.

Vedi la nostra tassonomia e estensione ad esso. Infatti, alcuni dei nostri altro blog posts sono molto pertinenti qui. Parla con i tuoi fornitori locali e ottieni un preventivo.

    
risposta data 29.11.2010 - 00:04
fonte
1

Questo dipende molto da molti fattori che rendono il prezzo finale.

I costi per l'analisi del codice sorgente possono essere contati contando le righe o la quantità di codice in Kilobyte. Per quanto ho visto, più popolare è il secondo metodo: contare per dimensione del codice. Mentre i prezzi per linee possono essere più accurati, tale approccio non elimina aspetti inaspettati come il codice scritto male, che richiederà molto più tempo per valutare. Altri inoltre conteggiano vulnerabilità nel codice.

Alcuni potrebbero dire che il prezzo dipende dalla qualità del servizio. Non sono d'accordo e dico che non è sempre così. I nuovi servizi devono dimostrare la loro validità e in genere iniziano con prezzi più bassi e media qualità dell'audit: non solo l'esperienza pratica è essenziale, ma anche la gestione personale, il supporto agli utenti, ecc. I servizi di marca possono permettersi prezzi più elevati. Ma c'è anche la possibilità che il servizio di marca inizi a sfogliare, o che i neofiti siano in grado di fare un audit migliore rispetto alla marca ben nota. Quindi, è consigliabile avere qualche informazione sul servizio, leggere raccomandazioni e commenti.

Inoltre, il prezzo può dipendere dal paese del fornitore di servizi. Tutti noi abbiamo un ambiente economico diversamente sviluppato.

Ora dal punto di vista del revisore del codice sorgente. Per le applicazioni Web solitamente i test whitebox e blackbox vengono combinati insieme. In questo caso non c'è davvero alcun bisogno di sicurezza attraverso l'oscurità. Ma bene, altri potrebbero preferire fare prima il blackbox test e poi dare l'accesso al codice sorgente. Se viene fornito il codice sorgente, sarà sicuramente testato in ambiente live. Se si ha solo accesso al sito Web, il cliente può fornire l'accesso al server.

Riassumendo tutto questo, è difficile definire un prezzo fisso. I clienti di solito discutono tutti i dettagli e il loro futuro lavoro collaborativo. Il processo potrebbe assomigliare a questo: date un codice, rispondono con un rapporto dopo un po 'di tempo. Puoi dare di nuovo il codice e questi passaggi potrebbero richiedere diversi cicli fino a quando i bug nel codice non saranno più disponibili. Ecco perché vedi spesso un modulo di contatto piuttosto che un listino prezzi.

    
risposta data 28.11.2010 - 13:37
fonte

Leggi altre domande sui tag