Para un CMS de PHP, ¿qué debo esperar para presupuestar una auditoría de seguridad, tanto en caja blanca como en caja negra? El código base es de aproximadamente 85,000 LOC ("Líneas de código") y probablemente usaría una compañía norteamericana para realizar pruebas. Realmente no tengo idea de si una auditoría costaría $ 10-20k o más de $ 100k. No estoy pidiendo una cita exacta, solo una estimación general para saber qué esperar. Si pudiera separar sus estimaciones entre las pruebas de Blackbox y Whitebox, también sería útil.
Editar :
Intentaré enumerar tantos factores como pueda.
- Tipo de aplicación: una gestión de contenido web Sistema similar a Wordpress, Joomla, o Drupal.
- Tipos de pruebas: Amplia penetración Pruebas y un escaneo para lo común. vulnerabilidades Revisión de código para vulnerabilidades adicionales como el el código fuente será público disponible.
- LOC: aproximadamente 85,000.
- Idiomas: PHP, JavaScript.
- Audiencia para el informe: Desarrolladores.
- Ubicación de las pruebas: se puede hacer remotamente.
- Los roles de usuario son variables. Se asignan a grupos y cada grupo puede recibir cualquier número de permisos. Se puede crear cualquier número de grupos.
No sé qué otra información podría ser relevante. En realidad, no estoy buscando un número ultra específico, solo una cifra aproximada como "Según la información que proporcionó, es probable que tenga un presupuesto entre $ X y $ X para una auditoría de seguridad". Incluso solo un precio de referencia sería extremadamente útil ya que realmente no tengo idea de qué esperar.