Costi e tempi previsti per il test della penna nera?

2

Lavoro per un'importante società quotata in borsa e abbiamo bisogno di alcuni test esterni di penna nera eseguiti su un eseguibile Win32. Questo exe viene utilizzato in un'infrastruttura di server client di grandi dimensioni ed è un elemento centrale del nostro core business. Gestisce le transazioni monetarie quindi è vitale che sia sicuro. Lo scopo del lavoro che vorremmo controllare è:

  • Inversione di protocollo della comunicazione client / server.
  • Analisi binaria generale per potenziali vulnerabilità.
  • Analisi delle possibilità di inserimento del codice.
  • Rilevazione di vulnerabilità nell'uomo medio.

Stimo che un progetto come questo richiederebbe un team di due 4-12 settimane a seconda della qualità. Non vogliamo fatturare ogni ora e stiamo cercando di valutare quali prezzi sono ragionevoli per ogni mese uomo?

In generale, per questo tipo di lavoro quali sono gli intervalli per le tariffe e i periodi di tempo che dovrei aspettarmi di vedere?

    
posta nextgenneo 19.02.2012 - 02:44
fonte

1 risposta

4

Dato che non ci sono definizioni nel test, e specialmente nel test della scatola nera, applicherò una tariffa giornaliera e mirerò a proporre un limite al numero di giorni basato su ipotesi. Occasionalmente noi rivediamo il numero di giorni (su o giù) se diventa chiaro che le ipotesi non sono corrette (ad esempio se non ci viene fornita alcuna informazione sulla dimensione di un'applicazione, potremmo assumere un certo livello di complessità che potrebbe risultare essere errato)

Ci sarà una differenza tra una sola società di pen-test, che fornirà un rapporto tecnico e una società che fornirà analisi dei problemi tecnici in base al flusso di informazioni e attività dell'azienda.

(divulgazione: ho gestito team di > 100 in quest'area per consulenze globali - e ci siamo sempre offerti i test / valutazioni focalizzati sul business end-to-end, che sono più preziosi per il livello CIO / FD / CEO - fornendo con un rapporto utile per i loro soldi, fornendo al contempo un'appendice tecnica (simile al rapporto tecnico) per la consegna all'IT.)

    
risposta data 21.02.2012 - 19:10
fonte

Leggi altre domande sui tag