Как проверить исходные коды на безопасность?

Question

[Drum Kit]

1.Как возможно проверить исходные коды и библиотеки на безопасность.
2.Какие способы используется для просверки безопасности данных ?
3.Как убедится что приложения не крадет данные и его можно использовать и он не имеет бек доров.
4.как анализировать исходные коды

Спасибо .

Comments

[Иван]

Берёте и анализируете :) Читаете код, смотрите референсы итд

Или вы хотите чтобы это сделали за вас?

[riot26]

закажите аудит безопасности

[Drum Kit]

ну конечно я хочу сделать сам . Да конечно необхоима анализировать коды но кроме этого мне какие еще способы есть , что конкретно проверить и как сделать анализ кода как можно быстро ?

Answer 1

[trevoga_su]

кидай ссылку на код
ща мы тебя расплющим

Comments

[Drum Kit]

https://github.com/piwik/piwik вот я хочу использовать аналитик для приложения и мне надо убедится что он не крадет данные или не собирает в clod системах

Answer 2

[Карим Кьятлоттьяви]

Пожалуй, можно определить два подхода к тестированию безопасности приложения — чёрный и белый ящики. Разница между ними заключается в точке зрения на объект тестирования. Белый ящик предполагает, что вы знаете, что находится внутри объекта, то есть, у вас есть доступ к исходникам приложения. Чёрный же предлагает вам обращаться к объекту, как будто бы вы не в курсе, что там находится внутри, по сути, вы тестируете публичные интерфейсы.

От выбранного подхода можно выбрать инструменты для тестирования. Для чёрного ящика используются довольно универсальные программы, которые долбят сайт на наличие известных уязвимостей по списку. Их предположительно можно найти по запросу web security scanner. Для белого используются методы статического анализа. Насчёт PHP не знаю, но для Ruby есть brakeman, который пробегается по коду и ищет потенциально уязвимые места. Это в качестве примера.

Можно всё тестировать и изучать вручную — это качественнее с одной стороны, но предъявляет больше требований как по времени, так и по квалификации.