è legale effettuare una revisione della sicurezza / pentazione di un'applicazione web che abbiamo acquistato e utilizzato sui nostri server? Significa che l'intera infrastruttura è nostra + abbiamo acquistato una licenza per il software. Possiamo fare una revisione approfondita di esso? O questo potrebbe infrangere alcune leggi contro il reverse engineering, ecc.? Sono interessato alle leggi USA e UE.
Grazie mille
Dipende dal tipo di valutazione che si desidera eseguire. Forse dovresti cambiare il titolo per indicare "Black Box" o "White Box" o entrambi. Ho appreso che i venditori hanno una definizione molto ampia di "revisione della sicurezza" sul loro software, quindi è importante fare una valutazione personale se si hanno le risorse.
Revisione codice
Il codice del venditore è loro e non ti è permesso di decompilarlo senza la loro autorizzazione. La maggior parte dei venditori non è disposta a condividere il proprio codice sorgente. Tutto quello che puoi fare è chiedere loro la loro relazione sulla loro revisione interna del codice sorgente.
Valutazione delle applicazioni statiche
Ci sono modi per fare valutazioni di sicurezza senza il loro codice decompilato. L'analisi del codice statico come con Veracode viene eseguita su codice compilato e il servizio non vede mai il codice sorgente. Aiuta comunque a triage i risultati se riesci a vedere il codice sorgente. Più spesso, trasmetto questi risultati al fornitore.
La situazione migliore è se le valutazioni di sicurezza (statiche o dinamiche) sono scritte nel contratto con il venditore, ma è legale caricare un programma compilato per tale servizio.
Valutazione di applicazioni Web dinamiche
Una scansione dinamica (black box) è totalmente consentita su un'applicazione nel proprio ambiente e questo dovrebbe essere il primo passo.
Tecnicamente, la legge è che devi seguire i termini del tuo EULA per il software nella misura in cui è applicabile. La tua migliore scommessa, chiedi il permesso al venditore. (Beh, davvero, la cosa migliore da fare è chiedere al venditore prima dell'acquisto, ma ora non è un'opzione.)
Non c'è una buona ragione per cui dovrebbero avere un problema con te assicurandoti che la piattaforma sia sicura, in particolare se accetti di condividere eventuali vulnerabilità che riscontri con loro, ma a meno che non ci sia nulla nell'EULA che ti impedisce di fare quello che vuoi, chiedere al venditore è la migliore scommessa.
Leggi altre domande sui tag web-application code-review