¿Cuánto cuesta una auditoría de seguridad? [cerrado]

13

Para un CMS de PHP, ¿qué debo esperar para presupuestar una auditoría de seguridad, tanto en caja blanca como en caja negra? El código base es de aproximadamente 85,000 LOC ("Líneas de código") y probablemente usaría una compañía norteamericana para realizar pruebas. Realmente no tengo idea de si una auditoría costaría $ 10-20k o más de $ 100k. No estoy pidiendo una cita exacta, solo una estimación general para saber qué esperar. Si pudiera separar sus estimaciones entre las pruebas de Blackbox y Whitebox, también sería útil.

Editar :

Intentaré enumerar tantos factores como pueda.

  • Tipo de aplicación: una gestión de contenido web Sistema similar a Wordpress, Joomla, o Drupal.
  • Tipos de pruebas: Amplia penetración Pruebas y un escaneo para lo común. vulnerabilidades Revisión de código para vulnerabilidades adicionales como el el código fuente será público disponible.
  • LOC: aproximadamente 85,000.
  • Idiomas: PHP, JavaScript.
  • Audiencia para el informe: Desarrolladores.
  • Ubicación de las pruebas: se puede hacer remotamente.
  • Los roles de usuario son variables. Se asignan a grupos y cada grupo puede recibir cualquier número de permisos. Se puede crear cualquier número de grupos.

No sé qué otra información podría ser relevante. En realidad, no estoy buscando un número ultra específico, solo una cifra aproximada como "Según la información que proporcionó, es probable que tenga un presupuesto entre $ X y $ X para una auditoría de seguridad". Incluso solo un precio de referencia sería extremadamente útil ya que realmente no tengo idea de qué esperar.

    
pregunta VirtuosiMedia 28.11.2010 - 11:52
fuente

3 respuestas

6

Aquí está mi estimación aproximada:

Revisión de código:

1000 LOC = 1 hour
85000 LOC = 85 hours

Tarifa por hora: 100 $ / hr

85 hours * 100$/hr = 8500$

Si su software utiliza un ORM y un marco MVC bien documentado, puede acelerar la revisión del código significativamente .

    
respondido por el Olivier Lalonde 01.12.2010 - 01:05
fuente
3

De acuerdo, hay una gran cantidad de factores que afectan el costo y el alcance de una auditoría de seguridad, por lo que es tan difícil darle un campo de juego sin muchos más detalles sobre el alcance. Por ejemplo:

  • ¿Qué tipo de auditoría de seguridad realiza? requiere?
  • ¿Qué consideras caja negra? ¿Y por qué lo quieres? Puede Aumentar el costo considerablemente.
  • ¿Está incluyendo la revisión de código?
  • ¿En qué idiomas está escrita la aplicación?
  • Qué audiencia es el informe a ser escrito para?
  • ¿Cuál es el propósito de la prueba?
    Cumplimiento, auditoría, certificación,
    otro?
  • Está realizando pruebas en el sitio, remoto, en
    ¿Entorno en vivo o prueba?
  • ¿Qué hace la aplicación?
  • ¿Cuántos roles de usuario existen?
  • etc.

Consulte nuestra taxonomía y extensión a él. De hecho, algunos de nuestros otro blog posts son muy relevantes aquí. Hable con sus proveedores locales y obtenga una cotización.

    
respondido por el Rory Alsop 29.11.2010 - 00:04
fuente
1

Esto realmente depende de muchos factores que determinan el precio final.

Los costos para el análisis del código fuente se pueden contar contando las líneas o la cantidad de código en Kilobytes. Por lo que he visto, más popular es el segundo método: contar por tamaño de código. Si bien los precios por líneas pueden ser más precisos, este enfoque no elimina cosas inesperadas como códigos muy mal escritos, que definitivamente tomarán mucho más tiempo para evaluar. Otros, además, cuentan con vulnerabilidades encontradas en el código.

Algunas personas podrían decir que los precios dependen de la calidad del servicio. No estaría de acuerdo y diría que este no es siempre el caso. Los nuevos servicios deben probarse a sí mismos y, por lo general, comienzan con precios más bajos y calidad media de auditoría. No solo la experiencia práctica es esencial, sino también la administración personal, el soporte a los usuarios, etc. Los servicios de marca pueden permitirse precios más altos. Pero también existe la posibilidad de que el servicio de marca comience a fallar o que los novatos puedan realizar una mejor auditoría que la marca conocida. Por lo tanto, es recomendable obtener algunos antecedentes sobre el servicio, leer recomendaciones y comentarios.

Además, el precio puede depender del país del proveedor del servicio. Todos tenemos ambientes económicos desarrollados de manera diferente.

Ahora desde la perspectiva del auditor del código fuente. Para las aplicaciones web, normalmente se combinan las pruebas de whitebox y blackbox. Realmente no hay necesidad de seguridad a través de la oscuridad en tal caso. Pero bueno, otros pueden preferir hacer la prueba de Blackbox primero y luego dar acceso al código fuente. Si se proporciona el código fuente, definitivamente se probará en un entorno real. Si solo tiene acceso al sitio web, el cliente puede proporcionar acceso al servidor.

Resumiendo todo esto, es difícil definir un precio fijo. Los clientes generalmente discuten todos los detalles y su futuro trabajo colaborativo. El proceso puede tener este aspecto: usted da el código, ellos responden con el informe después de algún tiempo. Puede dar código nuevamente y esos pasos pueden requerir varios bucles hasta que desaparezcan los errores en el código. Es por eso que a menudo se ve un formulario de contacto en lugar de una lista de precios.

    
respondido por el anonymous 28.11.2010 - 13:37
fuente

Lea otras preguntas en las etiquetas