Solução sob medida para sua organização. Clavis Segurança da Informação.


Auditoria de Segurança em Aplicações Web

O serviço Auditoria de Segurança em Aplicação Web visa identificar ameaças e vulnerabilidades através da realização de ações que simulem ataques aos ativos em questão. A análise consiste na varredura do site em busca de vulnerabilidades conhecidas e da verificação da existência de boas práticas de segurança no desenvolvimento e manutenção do site.

Auditoria de Segurança em Aplicações Web - Descubra ameaças e vulnerabilidades através de simulações de ataque em aplicações. - Saiba mais +


Auditoria Teste de Invasão

Testes de invasão (penetration tests, ou simplesmente pentests) são simulações controladas de um ataque real a uma rede, sistema ou ferramenta, visando avaliar a segurança do mesmo. O serviço de Auditoria Teste de Invasão visa identificar ameaças e vulnerabilidades através da realização de ações que simulem ataques aos ativos em questão.

Auditoria Teste de Invasão - Descubra a resistência dos seus ativos a auditorias teste de invasão - Saiba mais +


Academia Clavis

Setor de treinamentos da Clavis, oferta treinamentos especializados em segurança da informação. Com professores qualificados, renomadas parcerias internacionais e metodologia eficiente, os treinamentos da Academia Clavis destacam-se por fazer com que o aluno coloque em prática em seu ambiente de trabalho tudo o que foi aprendido dentro de sala de aula.

Cursos Presenciais em Si - Cursos práticos e certificações internacionais é na Academia Clavis Segurança da Informação - Saiba mais +
Seta Clavis Segurança da Informação Soluções » Auditoria de Código Fonte - Análise e Revisão de Segurança em Códigos de Sistemas e Aplicações

Análise de Código e Segurança de Software

Auditoria de Código Fonte - Análise e Revisão de Segurança em Códigos de Sistemas e Aplicações

Apresentação

O desenvolvimento de aplicações seguras exige que os princípios da segurança sejam aplicados desde a concepção do software, com a correta especificação de requisitos de segurança e a correta concepção de uma arquitetura de segurança. Após a concepção do software seguro, é importante que a implementação do código siga boas práticas de codificação segura, garantindo ao mesmo que falhas típicas de programação não ocorram. Dependendo do contexto da aplicação, além da concepção e codificação segura, é importante avaliar o ambiente na qual a aplicação estará exposta, de modo a protegê-lo contra situações atípicas ou adversas, e ao mesmo tempo garantir o correto comportamento da aplicação.

A Clavis oferece o serviço de Análise de Código e Segurança de Software com o objetivo de identificar vulnerabilidades em aplicativos de software. O serviço é executado em quatro fases, que podem ser personalizadas de acordo com o critério do cliente, conforme descritas a seguir. A primeira fase permite avaliar os aspectos da arquitetura de segurança do software em questão. O foco está na análise dos documentos de engenharia do software, com especial atenção aos aspectos de especificação de requisitos de segurança e a como a arquitetura do software influencia no atendimento a tais requisitos. A segunda fase permite avaliar questões de implementação, identificando falhas de programação e inconsistências entre especificação e implementação do software. O foco são os códigos do software, os quais são avaliados por meio de ferramentas de análise estática que permitem identificar falhas de programação que dão origem a vulnerabilidades. A terceira fase permite identificar vulnerabilidades associadas a falhas de implantação, configuração e operação do software. Nesta etapa, métodos de análise dinâmica permitem validar as vulnerabilidades identificadas na etapa anterior, assim como, eventualmente, identificar novas vulnerabilidades decorrentes de falhas de instalação e configuração. A quarta etapa avalia a exposição da aplicação em seu ambiente de operação e a utilização de ferramentas de proteção de software, que podem ser contra engenharia reversa, tais como ofuscação; contra adulteração e monitoramento, tais como incorruptibilidade (tamperproofing); e contra pirataria, tais como marca d'água (watermarking).

Detalhamento do Serviço

Na primeira fase do serviço, por meio de documentos de engenharia da aplicação a equipe da Clavis pode identificar falhas arquiteturais e conceituais e garantir que a aplicação atende a um conjunto de requisitos de segurança pré-definidos. Nesta fase serão verificados se os requisitos de segurança estão adequadamente especificados e se a arquitetura de software atende aos princípios básicos de segurança da informação.

Como auditoria de código-fonte é a técnica mais eficaz para a identificação de falhas de segurança uma vez que mais de 50% das vulnerabilidades decorrem de falhas de implementação, na segunda fase do serviço a equipe da Clavis conta com sua experiência em inspeção de código para assegurar que o software não apresente falhas típicas de codificação insegura. A inspeção manual de código realizada pela equipe da Clavis é auxiliada por ferramentas automatizadas de análise estática que buscam padrões de violações a programação segura (CERT C, CERT C++, CERT Java, CWE, et cetera). A Clavis conta com expertise para revisões de segurança em códigos e frameworks nas principais linguagens de programação, a saber: Java, .NET, C/C++, ASP, PHP, ColdFusion, Oracle, Struts, Spring, Ruby on Rails entre outras.

Na terceira fase, o software sob avaliação será, de fato, executado, com vistas a comprovar a explorabilidade das vulnerabilidades. Esta fase consiste na utilização de métodos automatizados para acessar as interfaces da aplicação durante sua execução. Caso se deseje uma validação aprofundada dos aspectos dinâmicos do software sob avaliação, o serviço de análise de código e segurança de software poderá ser complementado por meio de um Teste de Invasão executado pelos analistas da Clavis.

Caso seja identificada a necessidade de proteção do software contra ações de adversas de engenharia reversa, adulteração ou pirataria, a Clavis poderá analisar se os controles eventualmente implementados são, de fato, robustos, face aos cenários de ataque considerados. A Clavis possui, ainda, expertise para auxiliar o cliente na correta implementação de mecanismos de ofuscação, incorruptibilidade e marca d’água.

Produto Entregue ao Cliente

Ao final do serviço de Análise de Código e Segurança de Software, será gerado um relatório conciso e objetivo contendo as seguintes informações:
- Descrição detalhada de todo o processo de análise de código e segurança de software.
- Descrição detalhada de cada vulnerabilidade encontrada, indicando seu impacto e sua probabilidade de exploração.
- Listagem das linhas de código afetadas contendo recomendações que devem ser tomadas para mitigar as vulnerabilidades.
- Orientação quanto a utilização de técnicas de proteção de software, caso o cliente demande a quarta fase do serviço.

Entre em contato conosco agora e solicite um orçamento personalizado para sua demanda.

Fale Conosco Fale Conosco | Mapa do site Mapa do Site | Feed RSS Clavis Segurança da Informação RSS | Twitter Clavis Segurança da Informação Twitter | SlideShare | Facebook | Youtube | Linkedin | Webinar
A Empresa | Soluções | Cursos a Distância | Treinamento Presencial | Newsletter | Clientes | Blog Corporativo


Praia do Flamengo, 66 - Bloco B - salas 1110, 1111 e 1112 - Flamengo
Rio de Janeiro - RJ - Brasil - CEP 22210-030
+55 (21) 2561-0867 | +55 (21) 2210-6061 | +55 (21) 99696-5598

Av. Paulista, 1765 - Conj. 72 - sala 726 - Bela Vista
São Paulo - SP - Brasil - CEP 01311-930
+55 (11) 2450-7805
Imagens de solução
Sob a Licença Creative Commons - Alguns direitos reservados