¿Costo esperado y marco de tiempo para las pruebas con lápiz de caja negra?

2

Trabajo para una de las principales empresas que cotizan en bolsa y necesitamos algunas pruebas externas de la caja negra en un ejecutable Win32. Este exe se utiliza en una gran infraestructura de servidor cliente y es una pieza central de nuestro negocio principal. Maneja las transacciones monetarias por lo que es vital que sea seguro. El alcance del trabajo que nos gustaría auditar es:

  • Reversión del protocolo de comunicación cliente / servidor.
  • Análisis binario general para posibles vulnerabilidades.
  • Análisis de posibilidades para inyección de código.
  • Detección del hombre en las vulnerabilidades medias.

Estoy estimando que un proyecto como este tomaría un equipo de dos a 12 semanas dependiendo de la calidad. ¿No queremos facturar cada hora y estamos tratando de calcular qué precios son razonables por persona / mes?

En general, para este tipo de trabajo, ¿cuáles son los rangos de tasas y períodos de tiempo que debería esperar ver?

    
pregunta nextgenneo 19.02.2012 - 02:44
fuente

1 respuesta

4

Debido a que no hay resultados definitivos en las pruebas, y especialmente en las pruebas de caja negra, cobraré una tarifa diaria y trataré de proponer un límite en el número de días según las suposiciones. Ocasionalmente, revisamos la cantidad de días (arriba o abajo) si queda claro que las suposiciones son incorrectas (por ejemplo, si no se nos proporciona información sobre el tamaño de una aplicación, podemos asumir un cierto nivel de complejidad que puede resultar). ser incorrecto)

Habrá una diferencia entre una empresa de prueba de lápiz, que proporcionará un informe técnico, y una empresa que proporcionará un análisis de los problemas técnicos en función de su negocio y el flujo de información.

(divulgación: he administrado equipos de > 100 en esta área para consultorías globales, y siempre hemos ofrecido pruebas / evaluaciones centradas en el negocio de extremo a extremo. Estas son las más valiosas para el nivel CIO / FD / CEO: ellos con un informe útil por su dinero, al tiempo que proporcionan un apéndice técnico (similar al informe técnico) para entregar a TI.

    
respondido por el Rory Alsop 21.02.2012 - 19:10
fuente

Lea otras preguntas en las etiquetas