logotipo hardsecure
Início
Sobre Nós
Cyber Effect
Serviços
Recrutamento
Parcerias
Case Studies
Blog
Eventos
Plataforma de Gestão de Denúncias
Contactos
NÍVEL 2
NÍVEL 2
h-Cyber App
Solicitar Proposta
Nível 0
Básico
Nível 1
Reativo
Nível 2
Proativo
Nível 3
Produtivo
Serviço de Controlo de Qualidade e Análise de Vulnerabilidades de Código e Aplicações

A Hardsecure tem um serviço que fornece a Revisão do Código de acordo com as melhores práticas de Cibersegurança, criado como um processo de auditoria do código fonte para aplicações e/ou base de dados. Permite verificar se os controlos de segurança estão adequados e atualizados, se funcionam como pretendido, e se estão a ser aplicados de forma correta.

A nossa revisão ao Código/Aplicações assegura que uma aplicação ou base de dados foi desenvolvida de modo a estar segura no seu ambiente de produção.

Características

Este serviço é definido pelos seguintes elementos:

  • Utilização de quatro técnicas para análise da segurança de uma aplicação/software: execução de scans automáticos, teste de intrusão manuais, testes de segurança aplicacional (análise estática, análise dinâmica, testes de aplicações mobile) e revisão manual do código.

 

  • Revisão do código seguro concederá ao cliente o seguinte: Correta implementação de processos de Autenticação, Autorização, Gestão da Sessão, Validação dos dados, Tratamento de erros, Registo e Encriptação.

 

  • Apoiar os clientes a criar modelos de ameaça, durante a fase de conceção, educando os programadores sobre práticas seguras de programação (formação) e realizando frequentes revisões de código por pares com a equipa de Pentest da Hardsecure, com base na framework OWASP, aumentando a qualidade geral do código e reduzindo o número de problemas reportados (e que precisam de ser corrigidos) pela revisão segura do código.

Valor Acrescentado

  • Compreendemos a abordagem dos programadores. Antes de iniciar uma revisão segura do código, falamos com os programadores dos nossos clientes para compreender as suas abordagens a mecanismos como a autenticação e validação dos dados. A informação recolhida durante esta discussão ajudará a iniciar a revisão e diminuirá significativamente o tempo que o nosso auditor passa a tentar compreender o código.

 

  • Utilizamos múltiplas técnicas (técnicas manuais e automatizadas) para a revisão, porque cada método encontrará elementos ou findings que o outro não encontra. Além disso, utilizamos mais do que uma ferramenta automatizada, porque os pontos fortes de cada uma diferem e complementam as outras.

 

  • Não avaliamos o nível de risco. A nossa revisão segura do código não tenta fazer julgamentos sobre o que é um risco aceitável. A nossa equipa de Pentest reporta o que encontra. O cliente utiliza o plano de avaliação de risco aprovado pelo seu próprio programa para avaliar o risco e decidir se aceita ou não.

 

  • Ao executar uma revisão manual, ganhamos uma compreensão do código como um todo, depois concentramos a revisão em áreas importantes, tais como funções que lidam com o login ou interações com uma base de dados. Além disso, alavancamos ferramentas automatizadas para obter detalhes sobre falhas específicas.

 

  • Damos seguimento aos pontos de revisão. Após uma revisão, realizamos uma discussão de seguimento com a equipa de desenvolvimento para os ajudar a compreender o significado das conclusões e a forma de as abordar.

 

  • Fazemos uma revisão segura do código e não apenas testes de intrusão. As nossas equipas de Pentest podem fazer testes de intrusão num software em execução ou em ambiente de qualidade (aqui mais intrusivo).

 

A Hardsecure integra no seu trabalho, frameworks e standards como:

  • OWASP Risk Rating Methodology.
  • OWASP Top 10 (Web, API, Mobile).
  • OWASP Web/Mobile Security Testing Guide.
  • Source Code Analysis Tools (SAST/DAST).
  • Microsoft Threat Modeling (STRIDE and DREAD).

 

Categorizamos as vulnerabilidades de acordo com o Common Vulnerability Scoring System (CVSS) de forma a garantir a:

  • Exploração da vulnerabilidade.
  • Avaliação da probabilidade associada a cada finding.
  • Avaliação da probabilidade associada ao vetor de ataque.
  • Avaliação da probabilidade associada à vulnerabilidade de segurança.
  • Combinação de vários fatores, entregando uma estimativa dos impactos técnicos e de negócio da sua instituição.
  • Integração de vários fatores para calcular o risco na sua totalidade.
  • Determinar as técnicas adequadas à mitigação ou correção da vulnerabilidade.

 

Fornecemos segurança e robustez para garantir:

  • Verificação da segurança.
  • Parametrização de consultas.
  • Codificação de dados.
  • Validação de todas as entradas.
  • Implementação de controlos de identidade e autenticação.
  • Implementação de controlos de acesso.
  • Proteção dos dados.
  • Implementação de Logs e deteção de intrusão.
  • Análise da estrutura e framework de segurança e respetivas bibliotecas de suporte.
  • Manipulação de erros e exceções.
Procura Mais Informações?
Descarregue a Ficha Técnica do Serviço ou preencha o formulário.
Descarregar Datasheet
Solicitar Proposta
Estatísticas
Número de linhas de código validadas
Número de Linguagens
Number of Languages
Solicitar Proposta
Entraremos em contacto assim que possível.
* Campo Obrigatório
Como podemos ajudar?
Fale Connosco