Supponiamo che io sia responsabile per un'applicazione nella mia azienda e decido di assumere esperti di sicurezza per eseguire un controllo di sicurezza. Supponiamo inoltre che la mia azienda possegga il codice sorgente dell'applicazione e che io sia autorizzato a consegnarlo agli esperti assunti.
Ci sono buone ragioni per preferire un test di penetrazione blackbox su una revisione del codice sorgente di sicurezza? A mio parere, un audit del codice sorgente identifica vulnerabilità critiche molto più rapide e più efficienti di un test di penetrazione blackbox. Perché dovrei lasciare che un esperto di sicurezza metta a martello la mia applicazione al buio, quando posso fornirgli informazioni interne come la configurazione del sistema e il codice sorgente per aiutarlo a dirigere meglio i suoi sforzi.
Per evitare confusione - quando parlo di una recensione del codice sorgente di sicurezza, presumo che consentirò agli esperti di sicurezza di eseguire anche test sull'applicazione, convalidare i risultati e provare diversi attacchi. L'obiettivo dell'audit è identificare i punti deboli e migliorare la sicurezza dell'applicazione in seguito.