web-dev-qa-db-ja.com

手動によるセキュリティコードのレビューの実施-注意点

PHPアプリケーションがあり、外部のセキュリティコンサルタントからコードをレビューしてもらいたいと思っていますが、そのプロセスの「方法」については明確ではありません。

私たちは彼がどのような種類のテストを行うべきかを指定しました、そして彼の提出されたレポートの最初の部分justは、 eval()、fopen()など-「入力検証の問題」の見出しの下。

自動化されたセキュリティコードレビューツールを実行したときに、これらの報告された問題をすべて自分で確認しました。

(A)それが私のコード内の問題の程度であるかどうかわかりません。
(B)彼はこれらの自動化ツールを実行し、出力をフィルタリングしてノイズを除去しているだけです。

質問:

  1. 私は彼に何をするように頼むべきですか?
  2. 彼の仕事をクロスチェックして、彼が実際に良い仕事をしていることを確認するにはどうすればよいですか?

https://stackoverflow.com/questions/4311151/getting-a-manual-security-code-review-done-what-to-watch-out-for からコピー)

16
matt74tm

レビューの幅と深さの両方を考慮する必要があります。広義では、レビューでカバーされるリスク/攻撃/脅威の範囲を意味します。ここで何をカバーすべきかを理解するには、OWASPアプリケーションセキュリティ検証標準から始める必要があります。深さで言うと、コンサルタントは、各エリアが適切に防御されていることをどれだけうまく検証できるかということです。ローエンドでは、自動化されたツールスキャンはほとんど保証を提供しません。ハイエンドでは、手動の検査または実際のテストケースは、正しい防御策が整っており、正しく設計されており、必要なあらゆる場所で使用されていることを本質的に証明する必要があります。

2
planetlevel