Проверка кода программного обеспечения, производимая с использованием методов статического и динамического анализа, осуществляется на этапе создания и перед вводом ПО в эксплуатацию. Данный анализ позволяет выявить критически опасные уязвимости, недекларированные возможности или ошибки, которые могут быть использованы как внутренними, так и внешними злоумышленниками с целью мошенничества, несанкционированного доступа к информации, с целью кражи данных и финансовых средств. Ошибки в программном коде могут привести к сбою отлаженных бизнес-процессов организации, а также способны уничтожить или повредить, например, базы данных.
Компания «Информзащита» предлагает своим клиентам различные варианты работ по анализу кода:
- проведение полного анализа защищенности исходного кода (как ручного, так и автоматизированного);
- проведение периодических проверок исходного кода по результатам работы анализатора;
- встраивание регулярных Security-проверок специалистами «Информзащиты» в процесс SDLC (systems development life cycle) компании.
Использование программных анализаторов исходного кода позволяет автоматизировать процесс аудита. Однако это не означает, что нужно полностью отказаться от ручного сканирования.
Основные преимущества использования анализаторов кода:
- сокращение времени на поиск и устранение уязвимостей в программном обеспечении;
- снижение затрат на разработку, корректирующие меры и обеспечение соответствия нормативным требованиям;
- повышение производительности – благодаря автоматизированным процедурам защиты приложений;
- ускорение запуска в эксплуатацию или вывода ПО на рынок благодаря предотвращению задержек, вызванных проблемами с безопасностью.
