Рубрикатор |
Блоги | Рустэм ХАЙРЕТДИНОВ |
Безопасность заказных приложений. VIII
14 марта 2013 |
Итак, вы решили, что ваши бизнес-задачи не могут быть решены в рамках "коробочных" решений и заказали разработку приложения "с нуля" или основательную доработку типового решения или платформы. Вы получили его на тестирование и вдумчиво прошлись по руководствам пользователя и администратора, проверили функционал и нагрузку, и, наконец, решили озаботиться безопасностью приложения. Какие конкретные шаги нужно предпринять, чтобы быть уверенными, что приложение защищено от случайных или намеренных пользователей, администраторов, самого разработчика, а также тех, для кого доступ к приложению не предусмотрен — хакеров?
Вопрос доверия на рынке аудита исходного кода стоит остро. Большие интеграторы с хорошей репутацией не берутся за такие проекты, как за сложные и малоприбыльные. Тестовые лаборатории, в которых проходит тестирование в рамках сертификации продуктов по требованиям ФСБ, ФСТЭК, Министерства обороны и СВР, имеют репутацию "формалистов", "бюрократов" и не охотно берутся за заказные приложения, отсекая желающих ценой и сроками. Небольшие компании и независимые команды, зарабатывающие себе авторитет на этой ниве, пока не имеют "доказанного" опыта и истории громких побед. Бренды в области контроля качества заказных приложений еще только выстраиваются, поэтому, если бюджет, который вы готовы выделить на аудит, невелик, выбор приходится делать между известными, но неопытными и опытными, но неизвестными. Пока никакой сертификации и лицензирования этого рода деятельности для оказания услуг коммерческим компаниям нет - есть только сертификация и аттестация систем для госструктур. Поэтому инструментов оценки качества подрядчика, кроме экспертной оценки и советов коллег, пока нет.
Оставить свой комментарий:
Комментарии по материалу
Данный материал еще не комментировался.