¿Cuáles son algunos buenos analistas / empresas de seguridad de contratos que revisan el código por posibles violaciones de seguridad?

Esa es una especie de pregunta de dos partes. Si está preguntando sobre formas de revisar una aplicación web en busca de vulnerabilidades, hay dos enfoques para eso:

1. Pruebe una aplicación web para detectar vulnerabilidades. Esto implica escanear una aplicación web en busca de fallas de inyección, problemas de configuración, etc. desde la perspectiva de fuera de la aplicación web. Hay diferentes productos que hacen esto (WebInspect es uno como ejemplo). Este suele ser el primer paso correcto para las empresas que buscan obtener una lectura de las vulnerabilidades en una aplicación web crítica para el negocio.

2. Escanee el código mismo para detectar posibles vulnerabilidades. Esto significa un análisis estático o dinámico de funciones vulnerables conocidas o métodos de programación dentro de una base de código. Los productos en esta área incluyen herramientas como Fortify como ejemplo, dependiendo del lenguaje utilizado hay otros (Flawfinder es una herramienta gratuita para C como ejemplo).

Si está preguntando si ha sido violado, entonces lo que está buscando es una buena empresa de informática forense para entrar y buscar evidencia de una intrusión o extrusión de datos.

Finalmente, el mejor enfoque para empresas como Gawker como ejemplo, que han tenido problemas a cierta escala, es ver la seguridad de la información como un programa holístico y buscar formas de aumentar su postura de seguridad en general como empresa (aplicaciones, personas, infraestructura). Eso generalmente involucra algún tipo de producto de certificación de seguridad general (piense en Verizon CyberTrust, Praetorian, etc.).

Creo que Praetorian Security Group, LLC es una buena empresa para cualquiera de estos enfoques, pero tengo un sesgo, ya que esa es mi empresa;). Eche un vistazo a algunas empresas a través de la búsqueda (‘seguridad de aplicaciones web’, ‘análisis forense informático’, ‘escaneo de códigos de seguridad’), luego verifique que saben de lo que están hablando mirando entradas de blog, referencias de revistas, charlas de conferencias, etc. adelante. Asegúrese de que sean entidades conocidas antes de contratarlos.

Related Content

¿Es posible aprender piratería ética mediante el autoaprendizaje?

¿Cuál es el concepto de cifrado / descifrado de clave privada y clave pública?

¿Qué es la seguridad informática?

¿Cuál es el antivirus mejor pagado con control de los padres?

¿Dónde puedo encontrar vulnerabilidades de WordPress?

Estos son los que considero los principales actores en el espacio de revisión de códigos appsec:

  • Aspecto de seguridad
  • AsTech Consulting
  • Cigital
  • Gotham Digital Science

Las firmas de consultoría más grandes aparentemente también ofrecen servicios de revisión de código, pero creo que es mejor ir con una compañía que se especialice en este tipo de servicio. No hay muchas personas que tengan el conjunto de habilidades requeridas: una combinación sólida de conocimiento de seguridad de aplicaciones y experiencia en desarrollo, además de probablemente experiencia con Fortify, VeraCode, Ounce Labs u otro proveedor de software en el espacio del analizador de código.

Como otros mencionaron, puede realizar revisiones de código por usted, pero los principales beneficios provienen de incorporar seguridad y educación en su ciclo general de desarrollo. Esto es cuando los clientes con los que he trabajado en el pasado han visto mejoras significativas.

(divulgación completa: trabajo para AsTech)

John Kinsella

Todo depende de cuánto esté dispuesto a pagar y de si invertirá el tiempo para corregir los defectos en su código y en los procesos que condujeron a los errores o debilidades arquitectónicas en primer lugar. Hacer que un tercero audite sus aplicaciones no es una panacea y, a menos que aborde las formas fundamentales de diseñar, codificar, probar e implementar y operar sus aplicaciones, desperdiciará su dinero.

John Kinsella

More Interesting

¿Puede una película descargada contener un virus?

¿Cuál es la forma más segura de almacenar información de contraseña en lugar de archivos de configuración?

¿Cuáles son las responsabilidades de los servicios de pruebas de seguridad?

¿Cómo funciona la seguridad de punto final?

¿Qué tan buena es la protección contra virus Frontier?

¿Cuáles son las mejores aplicaciones de Android y antivirus para antivirus y antimalware?

¿Qué tipo de grados suelen tener los hackers?

¿Cuáles son algunos problemas en tiempo real que enfrentan los analistas de seguridad de TI?

Estoy a punto de completar mi duodécimo puesto en ciencias de la computación y quiero seguir una carrera en seguridad cibernética. ¿Qué se supone que debo hacer para ser un probador de pluma?

¿Dónde se almacenan los virus informáticos?

¿Los datos de Google extraen sus datos en aplicaciones de Fotos, Chrome, Drive y Gmail? Si es así, ¿para qué usan los datos y qué tan seguros están sus datos almacenados?

¿Cómo puedo eliminar una página web maliciosa?

¿Cuál es el alcance de los profesionales de seguridad de la información en India y en el extranjero?

¿Qué sucede si DDOS atacamos una IP?

¿Cómo crear un virus?