Problemi di sicurezza relativi allo script PHP acquistato (web app)

Naviga le tue risposte
4

Ho pensato di acquistare uno script PHP già pronto (ovvero un'applicazione web) che fornisce una funzionalità specifica. Dì, per esempio, uno di questi venduti da Agriya:

link

La preoccupazione che ho su questi è, come valutare la sicurezza di questo tipo di script. Non solo c'è una preoccupazione sul fatto che "programmazione scadente" possa aver introdotto dei bug, ma anche se qualche back-door è stato intenzionalmente aggiunto dal venditore.

Principalmente la mia preoccupazione riguarda la sicurezza dei pagamenti, in quanto il sito web accetta pagamenti tramite carta di credito o PayPal.

L'unica opzione è semplicemente "non comprarlo se non posso fidarmi del fornitore del software", o ci sono alcune cose che possono essere fatte (domande specifiche da porre, cose da controllare, ecc.) per minimizzare i rischi? È costoso avere questo tipo di script controllato da terze parti?

    
posta coderworks 17.12.2014 - 06:15
fonte

1 risposta

2

A meno che la compagnia non ti dica che sono stati controllati da qualche compagnia di sicurezza (e in base alla compagnia che lo ha valutato), non lo saprai mai fino a quando non ti darai un'occhiata.

La fiducia è una cosa complicata ... È difficile da ottenere e molto facile essere lasciati lungo la strada.

Qualcuno pensa che tu possa fare è parlare con Agriya e dire loro che sei interessato ai loro prodotti, ma diffidare delle pratiche di sviluppo sicure da loro utilizzate. Chiedete loro se hanno effettuato un'accurata valutazione della sicurezza nei software e se la risposta è "No", chiedete loro cosa farebbero se qualcuno dovesse trovarvi degli errori.

@ jeroen-it-nerdbox ha sollevato un problema importante. Queste cose potrebbero paralizzare la tua attività e un processo di correzione strong E veloce è di vitale importanza per te e i loro clienti.

Riguardo al prezzo di una valutazione di sicurezza nel codice, dipende dalla società che esegue la verifica. Il mio dipartimento non ha legami con l'area commerciale dell'azienda, quindi non posso aiutarti con questo.

    
risposta data 17.12.2014 - 15:14
fonte

Leggi altre domande sui tag

Perché la sicurezza della password di Windows è progettata in questo modo? [duplicare] Sono preoccupato perché il mio college chiede agli studenti di confermare il loro numero di carta di credito, posizione, SSN e nome completo al momento dell'iscrizione. Cosa faccio?