Precauations para auditoría de seguridad de aplicaciones web

1

Hemos planeado entregar nuestra aplicación web a un proveedor externo, ¿cuáles fueron las medidas de precaución que debemos tomar antes de entregar nuestra aplicación a un proveedor externo?

Como el proveedor tiene acceso de origen a nuestra aplicación web para llevar a cabo la prueba de penetración, es posible que haya una explotación a nivel de la aplicación que pueda ser realizada más tarde por el proveedor probado, aparte de eso, ¿cuáles fueron las comprobaciones previas que debemos realizar? ¿Se realiza mientras se entrega nuestra aplicación web a la auditoría de seguridad?

    
pregunta BlueBerry - Vignesh4303 10.06.2015 - 15:24
fuente

2 respuestas

2

Si contrata a una empresa para realizar una prueba de penetración y auditar su aplicación, será prudente determinar exactamente qué hay en los límites de dicha prueba, qué se probará y cómo (parece que les está dando la fuente). para poder hacer pruebas de caja blanca también). Es probable que trabajen con usted para establecer los acuerdos legales que los indemnizan. También debe detallar los resultados esperados, los plazos y los métodos que le comunicarán los resultados. Todas estas cosas son solo formas de asegurarse de que está obteniendo exactamente lo que espera de ellos. Esto también es en su mejor interés; Ellos también quieren clientes felices.

Aparte de los asuntos legales / contractuales, sería prudente darles un entorno tan cercano o igual al de su producción para que los resultados sean precisos y también si puede realizar sus propias pruebas con anticipación para eliminar "fruta colgando" - es decir, cualquier cosa que sea fácil de encontrar para ellos. Considere las revisiones de código y las revisiones de diseño del sistema con anticipación para darles lo que cree que es lo mejor. De esa manera usted está obteniendo el valor de su dinero.

    
respondido por el Tara Hodges 10.06.2015 - 15:49
fuente
2

Si le preocupa darle su código fuente a un tercero, no lo haga. Lleve al tercero al sitio para realizar la revisión del código y no permita que se lleven el código fuente con ellos. Esto también significa que pueden sentarse con un desarrollador y tener respuestas a cualquier pregunta que tengan con bastante rapidez. El desarrollador también tendrá la oportunidad de aprender del revisor.

Para las pruebas de penetración, se pueden realizar pruebas con credenciales y sin credenciales sin proporcionar ningún código fuente, ya que el probador puede probar la interfaz y la lógica de la aplicación.

    
respondido por el AndyMac 10.06.2015 - 16:04
fuente

Lea otras preguntas en las etiquetas