Come selezionare correttamente una società di revisione del codice? [chiuso]

Il primo passo è rivedere il codice il più accuratamente possibile internamente. Guardala tu stesso e chiedi ai colleghi di fare lo stesso (a condizione che siano competenti e affidabili a farlo)

Dopo di ciò, potresti considerare di mostrarne alcuni o tutti a enti esterni con cui hai dimestichezza, come le aziende partner con cui collabori nei progetti - questo ovviamente dipende dalle dimensioni e dallo stato della tua attività - un solo operatore può lotta con questo.

Quindi, la selezione di un revisore del codice dipenderà dalle circostanze. Gran parte di questo dipende dal fatto che si stia cercando un accreditamento normativo di qualsiasi tipo, come PCI-DSS: qualsiasi regolatore che richieda la verifica del codice di solito ha scelto aziende specifiche per farlo.

Un buon approccio se non avete mai avuto alcun codice sottoposto a verifica prima, è iniziare con un progetto di bassa sicurezza, sottoposto a revisione, nell'interesse di valutare le pratiche e il servizio del revisore, prima di dare loro un lavoro su larga scala. Come la scelta di un commerciante, molto si riduce alla creazione di una relazione di lavoro, e valutandoli su quello.

Oltre a ciò che @owen ha detto. Il posto principale dove si ottiene il revisore del codice di sicurezza è la penetration testing / società di consulenza sulla sicurezza. Elementi chiave da tenere in considerazione

1. La società ha un buon background con il linguaggio specifico (e idealmente il framework) che stai usando. Sebbene alcune aree di revisione del codice siano generiche, otterrai il miglior beneficio da qualcuno che conosce / ha esperienza con la lingua che utilizzerai.
2. Chiedi all'azienda quali strumenti usano per eseguire revisioni del codice. Se affermano che lo fanno solo manualmente o con strumenti interni, chiedo loro alcune domande su come otterranno la copertura nei tempi previsti. Esistono strumenti automatici (ad esempio Fortify, checkmarx, sorgente AppScan) che, sebbene non siano assolutamente perfetti, rendono molto più semplice la copertura di basi di codice di grandi dimensioni.
3. In tale nota, se usano strumenti automatici, chiedi quali sono i limiti di loro nella loro esperienza. Alcune classi di problemi (ad es. Difetti di autorizzazione, 2 ° ordine XSS, ecc.) Sono piuttosto difficili da trovare con gli strumenti automatici. Se la società ti dice che trovano tutto, sarei un po 'preoccupato per la loro esperienza.
4. Il consulente specifico che farà la tua recensione ha esperienza in quella lingua. dove stai guardando le grandi aziende fai attenzione a "esca e passa" dove la persona che fa il lavoro pre-vendita è più anziana e ha l'esperienza, ma poi il lavoro è fatto da qualcun altro.