Oavsett vilken typ av applikation ni utvecklar är applikationssäkerhet (AppSec) grundläggande för kvalitet, efterlevnad och kostnad. Ju tidigare säkerhet integreras i er mjukvaruutvecklingslivscykel, desto bättre och mer allmänt accepterad blir den.
Appar finns i många olika varianter, men vi är vana vid att säkra och testa allt från de minsta inbyggda applikationerna till de mest komplexa, kritiska systemen. Däremellan hittar vi webbapplikationer och mobilapplikationer, där vi naturligtvis bidrar mest: vi genomför cirka två penetrationstester på webb-/mobilapplikationer varje månad.
Läs mer om mobilapplikationssäkerhet, som är ett eget säkerhetsområde.
Ett urval av våra AppSec-tjänster
Säker design och rådgivning
Genom att inkludera säkerhet tidigt i utvecklingsprocessen kan ni förbättra den övergripande kvaliteten och tillförlitligheten hos era applikationer. Att identifiera och mildra säkerhetssårbarheter i designfasen är vanligtvis mindre kostsamt än att åtgärda dem när produkten redan är släppt, ännu mindre efter att ett intrång har inträffat.
Vi erbjuder erfarenhet, insikt och oberoende rådgivning för att hjälpa våra kunder följa bästa praxis för AppSec, systemarkitektur och säker design.
Penetrationstest av applikationer
I dessa fall bör ni överväga ett externt penetrationstest, där vi bedömer applikationens säkerhet genom att simulera en attack som en extern, illvillig aktör:
- när er applikation är på väg att lanseras eller släppas efter funktionsändringar eller buggfixar;
- efter en säkerhetsincident, för att avslöja sårbarheter och hitta den bakomliggande orsaken till intrånget;
- åtminstone årligen, eftersom nya sårbarheter och attackmetoder kan utvecklas över tid;
- när det krävs för efterlevnad, lagar och krav från intressenter.
Resultatet av ett externt penetrationstest ger en förbättrad säkerhetsstatus för er applikation samt en möjlighet till lärande och förbättring för er ledningsstab, och inte minst era utvecklare.
Säker kod
Vi hjälper våra kunder att välja och konfigurera verktyg för statisk/dynamisk applikationssäkerhetstestning (SAST/DAST) för att integreras i deras arbetsprocess, DevSecOps, CI/CD, etc. Att hitta svagheter och sårbarheter med tillgängliga verktyg gör att ni ligger ett steg före opportunistiska angripare och automatiserade attacker som strävar efter att hitta "lågt hängande frukter". Det gör också externa penetrationstester mer effektiva eftersom tid kan avsättas för att hitta mer komplexa, affärslogikrelaterade problem.
Våra kodgranskningstjänster kan vara en del av ett penetrationstest eller erbjudas som ett fristående uppdrag. Vi är bekanta med och har stor erfarenhet av att granska de flesta programmeringsspråk och teknologiska plattformar.