Rambler's Top100
Блоги Рустэм ХАЙРЕТДИНОВ

Безопасность заказных приложений. VIII

  14 марта 2013 Страница персоны

Итак, вы решили, что ваши бизнес-задачи не могут быть решены в рамках "коробочных" решений и заказали разработку приложения "с нуля" или основательную доработку типового решения или платформы. Вы получили его на тестирование и вдумчиво прошлись по руководствам пользователя и администратора, проверили функционал и нагрузку, и, наконец, решили озаботиться безопасностью приложения. Какие конкретные шаги нужно предпринять, чтобы быть уверенными, что приложение защищено от случайных или намеренных пользователей, администраторов, самого разработчика, а также тех, для кого доступ к приложению не предусмотрен — хакеров?

 

Вопрос доверия на рынке аудита исходного кода стоит остро. Большие интеграторы с хорошей репутацией не берутся за такие проекты, как за сложные и малоприбыльные. Тестовые лаборатории, в которых проходит тестирование в рамках сертификации продуктов по требованиям ФСБ, ФСТЭК, Министерства обороны и СВР, имеют репутацию "формалистов", "бюрократов" и не охотно берутся за заказные приложения, отсекая желающих ценой и сроками. Небольшие компании и независимые команды, зарабатывающие себе авторитет на этой ниве, пока не имеют "доказанного" опыта и истории громких побед. Бренды в области контроля качества заказных приложений еще только выстраиваются, поэтому, если бюджет, который вы готовы выделить на аудит, невелик, выбор приходится делать между известными, но неопытными и опытными, но неизвестными. Пока никакой сертификации и лицензирования этого рода деятельности для оказания услуг коммерческим компаниям нет - есть только сертификация и аттестация систем для госструктур. Поэтому инструментов оценки качества подрядчика, кроме экспертной оценки и советов коллег, пока нет.

 

 

Поделиться:

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.