Dipende dal tipo di valutazione che si desidera eseguire. Forse dovresti cambiare il titolo per indicare "Black Box" o "White Box" o entrambi. Ho appreso che i venditori hanno una definizione molto ampia di "revisione della sicurezza" sul loro software, quindi è importante fare una valutazione personale se si hanno le risorse.
Revisione codice
Il codice del venditore è loro e non ti è permesso di decompilarlo senza la loro autorizzazione. La maggior parte dei venditori non è disposta a condividere il proprio codice sorgente. Tutto quello che puoi fare è chiedere loro la loro relazione sulla loro revisione interna del codice sorgente.
Valutazione delle applicazioni statiche
Ci sono modi per fare valutazioni di sicurezza senza il loro codice decompilato. L'analisi del codice statico come con Veracode viene eseguita su codice compilato e il servizio non vede mai il codice sorgente. Aiuta comunque a triage i risultati se riesci a vedere il codice sorgente. Più spesso, trasmetto questi risultati al fornitore.
La situazione migliore è se le valutazioni di sicurezza (statiche o dinamiche) sono scritte nel contratto con il venditore, ma è legale caricare un programma compilato per tale servizio.
Valutazione di applicazioni Web dinamiche
Una scansione dinamica (black box) è totalmente consentita su un'applicazione nel proprio ambiente e questo dovrebbe essere il primo passo.