Экспертиза программного кода

Экспертиза или анализ кода – проверка программного обеспечения (сайта, прикладного ПО и пр.) по требованиям безопасности для выявления уязвимостей, которые могут появиться на этапе эксплуатации системы.

В зависимости от объекта и методики исследования аудит программного обеспечения называют по-разному, например:

• Аудит программного обеспечения
• Тестирование программного продукта по требованиям безопасности
• Анализ исходного кода
• Анализ защищенности приложения
• и пр.

В действительности корректная формулировка зависит от того, что именно передается на исследование и какими методами тестируется программное обеспечение.

На исследование может быть предоставлено следующее:

• Исходные коды программного обеспечения
• Стек технологий, используемый при разработке программы
• Учётные данные (например, привилегированные)
• Данные о программном обеспечении
• Обфусцированный код
• Образ приложения без исходных кодов

Что входит в аудит безопасности кода?

• Углубленный анализ программных продуктов и систем, а также сайтов на наличие недокументированных возможностей и различных уязвимостей;
• Исправление алгоритмов, на которых основываются аналитические системы. При необходимости, осуществляется предварительная деобфускация, т.е., приведение кода в читабельный вид;
• Модифицирование приложений без исходной кодировки с учетом потребностей заказчика.
  
  
• Анализ систем на уровне информационной безопасности. Существует как автоматический анализ, так и полуавтоматический. В первом случае происходит обработка инструментальными средствами, которые подстраиваются под определенные задачи. Выполняется быстро, но могут иметь место «ложные срабатывания». Полуавтоматический анализ предусматривает обработку со сборкой консолидированного отчета и его изучением исключительно специалистом. По результатам полуавтоматического анализа специалист также формирует перечень рекомендаций по устранению проблем.
• Анализ на наличие уязвимостей и недокументированных возможностей. В исполняемом коде могут быть скрыты разные дефекты, если он представлен пользователю без исходного. Уязвимости возникают при неграмотной работе разработчиков с некоторыми деталями языков программирования. Данные, не отраженные в документах (недокументированные возможности), носят или случайный, или умышленный характер. Перечисленные проблемы успешно решаются нашими сотрудниками.
• Восстановление алгоритмов, на которых основываются аналитические системы. Несовершенство алгоритма часто приводит к ошибкам в системе обработки данных. Мы проводим комплексный анализ и вносим уместные коррективы, которые будут эффективны в дальнейшей работе.
• Модификация ПО без исходных кодов с учетом требований заказчика. Услуга необходима, если программное обеспечение устраивает компанию, но, требуется выполнить замену некоторых элементов, что сделать самостоятельно через настройки невозможно. Для этого используются методы декомпиляции, восстанавливая интерфейсы взаимодействия системных компонентов. Собственный модуль может быть с ограниченным или расширенным функционалом.
• Деобфускация. Обфускация – обработка, с целью затруднения процессов анализа и хищения кода. Перед его восстановлением или анализом выполняется процедура деобфускации или «упрощения». Мы имеем большой опыт в этом направлении и даем гарантии надежного результата