La nostra azienda deve condurre una verifica di una grande soluzione ASP.NET che è stata sviluppata per noi da una società di sviluppo. [chiuso]

Naviga le tue risposte
1

Quali standard e pratiche professionali sono raccomandati per guidare questo sforzo?

    
posta user9011 09.04.2012 - 01:05
fonte

2 risposte

2

Come accennato nei commenti, probabilmente per questo l'opzione migliore sarebbe quella di entrare in un'azienda esterna con esperienza in questo settore, se è qualcosa di cui la tua organizzazione non ha esperienza. Detto questo, ci sono diverse cose che potresti considerare in termini di ciò che vuoi ottenere dalla recensione che potrebbe aiutarti a ottenere la compagnia giusta e commissionare il lavoro giusto, alcune cose da considerare: -

  • Ci sono dei dubbi specifici riguardo all'applicazione? Sei preoccupato per il codice di backdoor, o è più che ti interessi alle buone pratiche di sicurezza generale. La revisione di backdoor è piuttosto complicata in quanto può essere molto difficile per gli strumenti automatici trovarli e la revisione manuale di codebase di grandi dimensioni è costosa.
  • Hai esaminato i processi che la società di sviluppo ha utilizzato per scrivere l'applicazione? Per ASP.NET un approccio comune sarebbe quello di seguire Microsoft SDL . Se la società ha usato qualcosa di simile, dovrebbe esserci una documentazione che può fornirti circa l'output delle revisioni interne del codice, la modellazione di minacce (rischio) e simili. Non è una garanzia, ma se hanno un buon processo interno è più probabile che l'applicazione abbia un livello di sicurezza accettabile.
  • Vuoi che la società di revisione di terze parti esegua una valutazione del codice (white-box) o un test di un'applicazione web più tradizionale che di solito è più una questione di black-box?
  • Ci sono dei problemi normativi (ad esempio, PCI). Cose del genere possono aiutare a inquadrare un livello minimo di sicurezza che l'applicazione dovrebbe avere e focalizzare la valutazione.
risposta data 11.04.2012 - 21:38
fonte
1

Un buon punto di partenza è il progetto OWASP. In questo caso, penso che OWASP ASVS possa tornare utile. Puoi verificare la tua applicazione a livello L2A o L2B poiché hai accesso al codice sorgente.

Sfortunatamente probabilmente non sarai in grado di testare correttamente la tua applicazione se non hai esperienza in questo settore, quindi assumere qualcuno è davvero una buona mossa. Ovviamente anche se assumi qualcuno devi specificare l'obiettivo di questo test (dire "Voglio che un'applicazione sia sicura" non è una buona idea), e ancora una volta - a mio parere - usare ASVS come una lista di controllo è davvero una buona scelta .

    
risposta data 11.04.2012 - 19:58
fonte

Leggi altre domande sui tag

che blocca l'accesso diretto ai file tramite l'input dell'URL pur consentendo allo script sul server di accedere ai file Posso connettere la nostra rete a Internet ma consentire solo connessioni ad alcuni server?