Test di penetrazione vs Revisione sicura del codice sorgente [duplicato]

Naviga le tue risposte
1

Recentemente mi sono imbattuto in una situazione in cui un'istituzione ha assunto un fornitore di terze parti per sviluppare le sue applicazioni aziendali. Ho trovato le seguenti domande relative al test di penetrazione e recensione indipendente del codice sorgente di terze parti :

  • Come è l'esercizio di revisione indipendente del codice sorgente di terze parti diverso dal test di penetrazione?

  • Quali sono i limiti del codice sorgente sicuro di terze parti indipendente
    revisione e test di penetrazione e si coprono a vicenda dove
    sono limitati?

  • Quali sono le aree indipendenti per la revisione del codice sorgente sicuro di terze parti

    quale test di penetrazione non funziona e vice versa?

posta Khopcha 30.03.2018 - 20:12
fonte

1 risposta

5

How exercise of independent third party secure source code review is different from penetration testing?

La revisione del codice protetto è una metodologia white-box in cui il revisore del codice utilizzerà strumenti automatici e / o un approccio manuale per identificare i problemi di sicurezza nel codice sorgente dato mentre, il test di penetrazione è principalmente una metodologia black-box in cui l'organizzazione fornirà solo l'indirizzo IP o il nome / URL dell'applicazione in prova. Nel test di penetrazione l'analista della sicurezza di solito inizia con la raccolta di informazioni e quindi identifica le vulnerabilità nel sistema. Successivamente, l'analista attaccherà il sistema in prova e cercherà di penetrare sempre più in profondità per identificare più problemi di sicurezza e valutare l'impatto delle vulnerabilità identificate.

What are limitations of independent third party secure source code review and penetration testing and do they cover each other where they are limited?

Dipende esclusivamente dal tipo di coinvolgimento con il fornitore. Per lo più, non si coprono l'un l'altro. Personalmente raccomando sia il test di penetrazione che la revisione sicura del codice sull'applicazione. La revisione sicura del codice è più di un approccio statico. Sebbene i moderni strumenti di revisione del codice di sicurezza offrano funzionalità dinamiche come l'analisi della contaminazione in cui vengono analizzati anche i dati in movimento, ma ancora una volta la mia esperienza personale afferma che la revisione sicura del codice non può mai portare a termine i test di penetrazione e viceversa.

What areas independent third party secure source code review covers which penetration testing doesn't and vice versa?

Come già affermato, entrambi gli approcci possono essere utilizzati per ottenere risultati migliori. Spero di poterlo spiegare meglio usando un esempio. Per un'istanza, la revisione del codice protetto sul lato server includerà i controlli di gestione delle password. Nello scenario in cui viene utilizzato un algoritmo di hashing debole come MD5 per hash la password dell'utente. Questo problema di sicurezza sarà identificato nella revisione del codice sicuro in cui il problema potrebbe non essere identificato in un test di penetrazione se l'accesso al server / codice non viene raggiunto.

    
risposta data 31.03.2018 - 09:12
fonte

Leggi altre domande sui tag

Quando indurisci un sistema LINUX quali strumenti a riga di comando rimuoverei per rendere la vita degli attaccanti davvero difficile? [chiuso] È possibile crittografare ancora una volta un'unità "bitlocker"? [duplicare]