Přeskočit na hlavní obsah

Aplikační bezpečnost

Ať je předmětem vašeho podnikání cokoli, jste softwarová firma. Data ukládáte v cloudu nebo v informačním systému. Máte interní systém vyvinutý na míru, provozujete eshop, SaaS nebo mobilní aplikaci. Veškerá data a vše, co děláte, se ukládá do nějaké aplikace. Jak zajišťujete bezpečnost všech těch aplikací a dat?

Zajistěte nejen bezpečnost, ale i kvalitu

Kvalita software přímo souvisí s bezpečnostními doporučeními a standardy. Během vývoje a provozování aplikace nejspíš řešíte nějaký problém.

  • Hlásíte a opravujete chyby.
  • Trvá vám dny nebo týdny nasadit novou verzi.
  • Používáte staré technologie nebo udržujete starý systém.
  • Stále se vás někdo ptá, jak používat API / aplikaci.
  • Nestíháte testovat.
  • Stále řešíte a měníte softwarový návrh.
  • Řešíte vendor lock.
  • Nevíte, jestli jste compliant s legislativou.
  • A mnoho dalších.

Zjistím, kde je ve vašem vývojovém cyklu zakopaný pes a ten problém odstraním. Jednou pro vždy. A naučím vás, jak na to.

Říkáte si: „Nám ale všechno funguje skvěle, žádný problém nepozorujeme.“ Výborně! To je nejlepší čas na investici do zabezpečení. Rozvíjejte a zlepšujte svůj software v době, kdy se vám daří. V krizi nebo při řešení incidentu už je poždě - to musíte řešit danou krizi.

Udělám vaše IT oddělení bezpečnějším

Víc než 10 let vyvíjím webové aplikace a API. Vím moc dobře, že vývojáři neumí psát bezpečný kód a vyvíjet bezpečný software. Nikdo je to neučil, nikdo jim neřekl, jak na to. Nemají čas se tomu věnovat. A hlavně to není jen o nich, ale o celém vývojovém týmu - byznys ownerech, projekťácích, testerech a dalších.

  • Udělám bezpečnostní audit vašeho software.
  • Identifikuju slabá a zranitelná místa a procesy v rámci vývojového cyklu.
  • Provedu white-box pentest / security code review.
  • Navrhnu optimalizace a vylepšení vedoucí k vyšší bezpečnosti a kvalitě software.
  • Doporučím vhodné celkové zabezpečení a metriky.
  • Pomůžu s implementací návrhů a automatizací.
  • Proškolím vývojáře, projekťáky, nebo manažery v oblasti bezpečnosti vývoje software.

Zabezpečuju a vylepšuju celý proces vývoje software (SDLC). Nemám však rychlý a snadný postup řešení. Je to i o vás a vašem vývojovém týmu. Budu potřebovat i vaši pomoc, ochotu a zapojení. Jen tak společně docílíme zvýšení kvality a bezpečnosti vašich aplikací.

Jak vypadá spolupráce?

Pracuju sám, nenajímám si další konzultanty ani zakázky nepřeprodávám. Budeme spolupracovat na dálku formou online hovorů a e-mailové nebo Slack komunikace, atp. Po předchozí domluvě za vámi rád přijedu.

V závislosti na konkrétní fázi mi poskytnete přístupy do repozitářů zdrojových kódů a task management systému, atd.

Chápu, že vaše systémy, zdrojové kódy a další věci jsou citlivého charakteru. Před začátkem spolupráce podepíšeme NDA a další dokumenty nebo smlouvy, které budete vyžadovat.

Spolupráce je rozdělena do tří základních fází.

Bezpečnostní audit / white-box pentest / security assessment

Identifikuju zranitelnosti a nedostatky související se zdrojovým kódem (white-box pentest) a veškerými procesy v rámci vývojového cyklu (bezpečnostní audit / security assesment).

White-box pentest

Podívám se do zdrojového kódu vašeho software, udělám security code review a identifikuju zranitelnosti. Pokusím se aplikaci exploitovat jako by to dělal hacker.

Vytvořím report penetračního testu, který bude obsahovat nálezy včetně popisu, rizikovosti a doporučení pro jejich mitigaci. Report můžete použít jako doložení o penetračním testování v rámci NIS2, ZKB nebo jiné regulace, která pentest vyžaduje.

Tuto službu můžete poptat i samostatně.

Bezpečnostní audit

Společně s vedením společnosti nebo osobou odpovědnou za technologické oddělení (CTO, CISO, CIO...) stanovíme cíle a metriky, kterých chceme v rámci bezpečnosti a kvality software dosáhnout.

Budu váš vývojový tým sledovat při práci. Budu se účastnit porad, vývoje, nasazení, testování a provozování aplikace.

Zhodnotím jednotlivé fáze vývoje software, udělám white-box pentest a identifikuju slabiny v procesech. K tomu používám nejen OWASP SAMM model.

Vypracuju report, kde shrnu své poznatky a doporučím změny nebo vylepšení, které budou mít přímý dopad na bezpečnost software a jeho kvalitu.

Nebudu vám říkat, co máte dělat nebo vám měnit procesy pod rukama. Cílem je zanést bezpečnost do vašich stávajících procesů. Budu se snažit navrhnout jejich optimalizaci. Pokud žádné procesy nemáte, pokusím se navrhnout sérii více možností, ať máte z čeho vybírat.

Implementace zabezpečení

Na dříve stanovených cílů a bezpečnostního auditu, který jsem provedl, vám pomůžu s implementací jednotlivých doporučení a návrhů.

Vezmu v potaz compliance náležitosti jako je PCI-DSS, HIPAA, GDPR, SOC2, NIS2 a další.

Budeme pracovat společně i s vaším vývojovým a IT týmem. Bude potřeba součinnost všech. Jen tak dokážeme automatizovat a optimalizovat vývojový cyklus a splnit stanové cíle.

Školení zaměstnanců

Proškolím vaše zaměstnance v oblasti psaní bezpečného kódu nebo vývoje bezpečného software. Školím vývojáře, projekťáky, byznys ownery, testery, ale i manažery IT oddělení nebo vedení společnosti.

Tuto službu můžete poptat i samostatně.

Nedělám to poprvé

Mám za sebou nespočet projektů v roli vývojáře pro firmy všech velikostí. Sám jsem několik softwarových projektů řídil nebo vytvořil. Mám tedy zkušenosti jak s vývojem, testováním a zabezpečením, tak s byznysovou a finanční stránkou, řízením projektu a lidí, nebo nastavením cílů a metrik.

Jsem zakladatel projektu Bezpečný kód, jehož cílem je zvýšit povědomí o aplikační bezpečnosti a pomoc firmám a vývojářům vytvářet kvalitní a bezpečný software. Projekt se zaměřuje na aplikační zranitelnost, hacking a techniky, jak chybám a zranitelnosten v kódu předcházet.

Přihlaste se k odběru mého newsletteru o aplikační bezpečnosti, který vychází každý měsíc, je zdarma.

Máte dotazy?

Podívejte se na video, kde tuto službu a její fáze představuju a odpovídám na nejčastější dotazy.

Jste opravdu spokojeni s bezpečností a kvalitou svého software?

Jsem na to sám a moje kapacita je omezená. Většinu času rezervuju stávajícím klientům, ale občas přijímám nové zajímavé výzvy. Napište mi e-mail na stefan@stefanprokop.dev nebo si pojďme zavolat a zjistit, jestli si sedneme. 👇