Nuestra compañía necesita realizar una auditoría de una gran solución ASP.NET desarrollada para nosotros por una compañía de desarrollo. [cerrado]

1

¿Qué estándares y prácticas profesionales se recomiendan para guiar este esfuerzo?

    
pregunta user9011 09.04.2012 - 01:05
fuente

2 respuestas

2

Como se mencionó en los comentarios, lo más probable es que la mejor opción sea obtener una empresa externa con experiencia en esta área, si es algo de lo que su organización no tiene experiencia. Dicho esto, hay varias cosas que podría considerar en términos de lo que desea obtener de la revisión, lo que podría ayudarlo a obtener la compañía correcta y encargar el trabajo correcto, algunas cosas que debe considerar: -

  • ¿Hay alguna preocupación específica que tenga con la aplicación? ¿Está preocupado por el código de la puerta trasera o está más interesado en las buenas prácticas de seguridad general? Revisar las puertas traseras es bastante complicado, ya que puede ser muy difícil para las herramientas automatizadas encontrarlas y la revisión manual de grandes bases de código es costosa.
  • ¿Ha revisado los procesos que utilizó la empresa de desarrollo para escribir la aplicación? Para ASP.NET, un enfoque común sería seguir Microsoft SDL . Si la compañía usó algo como esto, debería haber documentación que pueda proporcionarle sobre el resultado de sus revisiones internas de códigos, modelos de amenazas (riesgos) y similares. No es una garantía, pero si tienen un buen proceso interno, es más probable que la aplicación tenga un nivel de seguridad decente.
  • ¿Desea que la compañía de revisión de terceros realice una evaluación de revisión de código (caja blanca) o una prueba de aplicación web más tradicional que generalmente es más un asunto de caja negra?
  • ¿Hay alguna preocupación regulatoria (por ejemplo, PCI). Cosas como esas pueden ayudar a enmarcar un nivel mínimo de seguridad que la aplicación debería tener y centrar la evaluación.
respondido por el Rоry McCune 11.04.2012 - 21:38
fuente
1

Un buen lugar para comenzar es el proyecto OWASP. En este caso, creo que OWASP ASVS puede ser útil. Puede verificar su aplicación en el nivel L2A o L2B ya que tiene acceso al código fuente.

Lamentablemente, es probable que no puedas probar tu aplicación correctamente si no tienes experiencia en esta área, por lo que contratar a alguien es una buena decisión. Por supuesto, incluso si contrata a alguien, debe especificar el objetivo de esta prueba (decir que "quiero que la aplicación sea segura" no es una buena idea), y nuevamente, en mi opinión, usar ASVS como lista de verificación es una muy buena elección. .

    
respondido por el pgolen 11.04.2012 - 19:58
fuente

Lea otras preguntas en las etiquetas