¿Cómo seleccionar correctamente una compañía de auditoría de código? [cerrado]

El primer paso es revisar el código lo más detalladamente posible dentro de la empresa. Míralo tú mismo y haz que tus colegas hagan lo mismo (siempre que sean competentes y dignos de confianza para hacerlo).

Después de eso, puede considerar mostrar parte o todo a organismos externos con los que está familiarizado, como las empresas asociadas con las que colabora en proyectos. Esto obviamente depende del tamaño y el estado de su empresa. lucha con esto.

Luego, seleccionar un auditor de código dependerá de las circunstancias. Una gran parte de esto depende de si está buscando una acreditación regulatoria de algún tipo, como PCI-DSS: cualquier regulador que requiera una auditoría de código generalmente tendrá empresas específicas elegidas para hacer esto.

Un buen enfoque si no se ha auditado ningún código anteriormente, es comenzar con un proyecto pequeño de baja seguridad auditado con el fin de evaluar las prácticas y el servicio del auditor, antes de brindarles un trabajo a mayor escala. Al igual que la elección de un comerciante, mucho se trata de establecer una relación de trabajo y evaluarlos.

Además de lo que dijo @owen. El lugar principal donde obtendrá el auditor de código de seguridad es en las empresas de consultoría de pruebas de penetración / seguridad. Cosas clave a tener en cuenta

1. ¿Tiene la empresa un buen historial con el lenguaje específico (e idealmente el marco) que está utilizando? Si bien algunas áreas de revisión de códigos son genéricas, obtendrás el mejor beneficio de alguien que sepa / tenga experiencia con el idioma que usarás.
2. Pregunte a la compañía qué herramientas utilizan para hacer revisiones de código. Si declaran que lo hacen de forma puramente manual o con herramientas internas, les haré algunas preguntas sobre cómo obtendrán la cobertura en el tiempo proporcionado. Existen herramientas automatizadas (por ejemplo, Fortify, checkmarx, AppScan source) que, aunque definitivamente no son perfectas, hacen que sea más fácil cubrir grandes bases de código.
3. En esa nota, si usan herramientas automatizadas, pregunte cuáles son las limitaciones de ellas en su experiencia. Algunas clases de problemas (por ejemplo, fallas de autorización, 2nd Order XSS, etc.) son bastante difíciles de encontrar usando herramientas automatizadas. Si la compañía le dice que lo encuentra todo, me preocuparía un poco su experiencia.
4. El consultor específico que realizará la revisión tiene experiencia en ese idioma. donde está buscando empresas más grandes, tenga cuidado con el "cebo y el interruptor" donde la persona que realiza el trabajo de preventa es más importante y tiene experiencia, pero el trabajo lo realiza otra persona.