Il processo Code Review ha come scopo l'identificazione di vulnerabilità all'interno del codice sorgente. Esso rappresenta una delle fasi più importanti per lo sviluppo di applicazioni sicure, permettendo di identificare eventuali problematiche di sicurezza prima che il software vada in produzione riducendo sensibilmente i costi.
L'attività di Code Review ha un alto grado di complessità, ragion per cui è fondamentale che l'auditor abbia solide basi sui concetti di programmazione sicura, sulle maggiori tipologie di attacco e che abbia una buona confidenza con la lettura e analisi del codice.
Il servizio di Code Review offerto da ISGroup viene effettuato da un team di persone con anni di esperienza sia nella programmazione che nell'analisi dei sorgenti di grandi applicazioni.
ISGroup è il fornitore ideale per le Vostre necessità di Code Review e opera con serietà secondo standard internazionalmente riconosciuti ai più alti livelli di qualità grazie al costante impegno nell'ambito della ricerca. Contattateci per informazioni e richiedete un preventivo personalizzato.
Code Review
Chiamaci!
- Tel (+39) 045 4853232 (Vedi tutti i contatti)
- Fax (+39) 045 4853123
- Voicemail (+39) 02 320624653
sales@isgroup.it
Il processo si compone fondamentalmente di due fasi, in quella iniziale l'intera applicazione viene esaminata da uno o più tool di analisi statica. Tali tool hanno lo scopo di simulare l'esecuzione del codice e di identificarne le eventuali vulnerabilità. Questo approccio ha dei grossi vantaggi rispetto al solo testing dell'applicazione, perchè si ha piena consapevolezza del comportamento dell'applicazione.
Nella fase successiva si analizza manualmente il codice concentrandosi sulle parti più delicate dell'applicazione. L'analisi viene effettuata da un team eterogeneo di persone altamente specializzate, con il fine di identificare tutte le varie vulnerabilità che non sono immediatamente identificabili.
Questa seconda fase è necessaria poichè i tool automatici non sono in grado di identificare correttamente tutte le vulnerabilità a causa dell'intrinseca complessità di tale compito.
Alla fine dell'attività viene presentato al cliente un Report composto di due sezioni:
Executive summary
Riassume le problematiche riscontrate nel
codice sorgente dell'applicazione ed eventuali errori di implementazione.
Inoltre fornisce una valutazione del livello generale di sicurezza.
Technical details
Indica per ogni problematica individuata la sezione dei sorgenti in oggetto, una
spiegazione dettagliata del problema individuato e la sua soluzione
(Remediation).
Lavorare con noi è molto semplice, chiamando il numero (+39) 045 4853232
o spedendo una mail a sales@isgroup.it potremo conoscerci e discutere
delle vostre necessità di fornitura di servizi di
IT Security.
Una breve raccolta delle pubblicazioni, dei materiali e delle presentazioni che i componenti del nostro staff anno avuto modo di produrre o tenere nel corso della loro carriera.
A dimostrazione che per noi l'IT Security non è solamente un mercato ma una grande passione.
La ricerca è un'attività affascinante che pone l'esperto di sicurezza informatica di fronte a scenari e sfide sempre nuove. Da anni anche tramite la nostra incarnazione non commerciale, ush.it - a beautiful place, ci dedichiamo alla pubblicazione di advisory, sviluppo di exploit e bug hunting.
Forti dell'esperienza accumulata nelle attività svolte fino ad oggi, dei risultati della nostra ricerca e della conoscenza delle problematiche e soluzioni della sicurezza informatica proponiamo vari percorsi di formazione per figure che svolgono attività offensive (auditor, penetration tester) o difensive (amministratori di rete, sviluppatori).