Меню
Что нового?

Опрос: готовы ли вы платить за аудит безопасности ваших веб-приложений?

готовы ли вы платить за аудит безопасности ваших веб-приложений?

  • Да, готов.

    Голосов: 20 66,7%

  • Нет, это лишняя трата средств

    Голосов: 10 33,3%
  • Всего проголосовало
    30

Гравицапа

elbirret elcno
Опрос: готовы ли вы платить за аудит безопасности ваших веб-приложений?

Почему-то уже который раз обнаруживаю тот факт, люди в России не хотят тратить деньги, даже если это не большие деньги, на безопасность своих продуктов.
Видимо работает традиционный русский принцип "Пока гром не грянет, мужик не перекрестится" :( Ведь гораздо лучше/проще/дешевле уделить больше внимания/средств на проверку безопасности своего продукта на начальном этапе, чем расхлёбывать потом последствия, когда продукт станет (если станет конечно) достаточно популярным...
Собственно, опрос =)
 
Garret

Garret

Кто здесь?
Если это серьезный проект связаный с денежными средствами, то готов заплатить. В ином случае сам поаудирую :)

Меня интересует вопрос, как проверить качество этого аудита. Работа то не визуальная :) И не всегда "больше денег" => "качество".
 

Sender

Новичок
Гравицапа
надо еще один пункт: я сам кого хочешь проаудирую :)


Garret
качество аудита напрямую зависит от репутации и известности той сущности, которая проводит аудит
 

Alexandre

PHPПенсионер
Гравицапа есть методика аудита???

у меня на практике только Один знакомый хотел сделать аудит безопастнсти, только он не нашел подходящей фирмы.

Второй знакомый, сам хотел зарабатывать WEB-аудитом, только он не нашел первого. Пока эта ниша пуста.
 

chulim

Новичок
сорри за офф

как говорил знакомый врач о коммерческой медицине
- Наш народ предпочтет сдохнуть, чем заплатить 10 баксов за собственное здоровье.
 
DiMA

DiMA

php.spb.ru
Команда форума
чайников не надо нанимать и тратить не на аудит, а разработчиков хороших
 

Гравицапа

elbirret elcno
DiMA
Бреши в безопасности находятся и в продуктах, которые пишут отнють не чайники.
 

ran

Новичок
Скорее готов, чем нет, если конечно бюджет позволит.
Гравицапа, кроме аудита безопасности, есть ли аудит на качество и структуру кода/всего проекта: документация, исключение дублирования кода, структура БД и т.п. ?
Правильно написанный код исключает множество ошибок, в том числе безопасности.
ИМХО, DiMA, в команде хороших разработчиков кто-нибудь один тоже может что-то упустить или недосмотреть по невнимательности. да и в своем коде ошибки замечаются реже =)
 

Гравицапа

elbirret elcno
кроме аудита безопасности, есть ли аудит на качество и структуру кода/всего проекта: документация, исключение дублирования кода, структура БД и т.п. ?
Нажмите для раскрытия...
Нет, плотно этим не занимаюсь.
 
nehochuha

nehochuha

Новичок
Нет. Потому что уверен в качестве своего кода.

Если тестировать необходимость аудита еще сильнее снижается..
 
AP

AP

Новичок
nehochuha, а тестировать кто будет? если ты тогда аудита полюбому нужен!
 

Gorynych

Посетитель PHP-Клуба
частично в тему: насколько я знаю, уже примерно год муссируется проект страхования покупок пользователя в интернет-магазинах. Одно из направлений проекта предусматривает аудит кода, для интернет магазинов участвующих в системе страхования.

проблема аудита кода двойственна: если аудит устойчивости системы как по отказо-/взломо- устойчивости довольно понятен, то аудит самого кода (на предмет наличия тех или иных дыр и закладок) напрямую связан с его раскрытием. Здесь нужна какая-то мотивация для прохождения такого аудита + доверие к аудитору
 

WP

^_^
Кстати в серьезный конторах платят и очень неплохо, это мой хлеб.
Баги допускают чайники, увы. А нормальный сразу видит возможные варианты неоднозначного восприятия кодом специально составленного запроса.
В своем коде аналогично сразу же предусматриваю все такие ситуации.
 
zerkms

zerkms

TDD infected
Команда форума
WP
при этом ты упускаешь, что уязвимость может быть не причиной незнания, а обусловлена человеческим фактором
 

ONK

Пассивист PHPСluba
Ошибки свойственны человеку, в том числе и ошибки в области безопасности. Считаю сторонний аудит необходимым, т.к. найти уязвимости в своём собственном проекте, к которому привык на столько что просто не замечаешь деталей реализации, просто невозможно.

Проконтролировать качество аудита можно путём изучения формального отчёта. Описание интерфейса обмена данными каждого модуля, наличия опасных участков кода (eval() system() etc), анализом их работы.... Вобщем вполне реально.
 

Paction

Guest
Проголосовал "за аудит".
Советую тем, кто не читал, прочитать книжку Кевина Митника "Искусство вторжения". Там есть интересные рассказы о деятельности компний, занимающихся аудитом безопасности в целом
 

Alexandre

PHPПенсионер
интересна методика "автоматического тестирования" на наличие дыр.

дыры могут использоваться не только в написаном коде, но в Ось и самом пхп. За что отвечает аудитор? Клиента прежде всего интересует аудит в целом.
 
Войдите или зарегистрируйтесь для ответа.
Сверху