امنسازی نرمافزار (تست سفید) روشی است که در آن اعتباران با مطالعه روشهای توسعه نرمافزار، معماری نرمافزار، مد منبع نرمافزار، پایگاهداده نرمافزار، تنظیمات نرمافزار و نحوه راهاندازی نرمافزار، گزارش جامعی از نقاط ضعف امنیتی نرمافزار ارائه میدهد و راهکارهایی برای بهبود آنها نیز ضمیمه مینماید.
در صورت لزوم مشتری میتواند طی قراردادی مجزا درخواست رفع تمامی مشکلات را داشته باشد. مزایای اصلی تست سفید عبارتند از:
- بیش از ۹۹٪ معضلات امنیتی سیستم رفع میگردد
- معماری ناصحیح سیستم اصلاح شده، پیدایش معضلات آتی را کم احتمالتر میکند
- هزینه بسیار ناچیزتری نسبت به تست نفوذ (تست سیاه) دارد
- تنها توسط متخصصین بسیار مجرب امکانپذیر است
چرا اعتباران؟
تست سفید، معمولا در بازار امنیت اطلاعات مشتریان بسیار کمتری از تست سیاه دارد. تست سیاه معمولا توسط ابزار اتوماتیک انجام میشود و متخصص امنیتی که مدیریت این تست را انجام میدهد، تنها باید با مخاطرات امنیتی آشنایی داشته باشد.
در برابر آن، متخصصی که تست سفید را انجام میدهد، باید با تمام تکنولوژیهای پایگاهی، زبانهای برنامهسازی، الگوهای توسعه نرمافزار، معماریهای سازمانی، روشهای تنظیمات و راهاندازی و بسیاری موارد دیگر به صورت یکپارچه آشنایی داشته باشد و همگی آنها را نیز از منظر امنیتی به خوبی بشناسد.
اینگونه تخصص معمولا بسیار پر هزینه است و متخصصان CISSP (معتبرترین مدرک امنیت اطلاعات) که بالاترین دستمزد انفورماتیک در دنیا را دارا هستند، معمولا تنها به دو مورد از ۱۰ مورد فوق تسلط دارند. اما از طرفی تست سفید زمان و تلاشی کمتر از یک دهم تست سیاه لازم دارد که باز هم آنرا مقرون به صرفه میسازد.
اعتباران با دارا بودن بیشترین متخصصین بینالمللی دارای مدارک معتبر و همچنین عضویت در انجمنهای استانداردسازی امنیت اطلاعات در دنیا، اینگونه سرویسها را ارائه میدهد و به شدت با شرکتهایی که سعی در نشان دادن تست سیاه به عنوان تنها راهکار دارند، مقابله مینماید.
توسعه نرمافزار
توجه داشته باشید که تست سفید مربوط به نرمافزاریست که در حال حاضر موجود است. اگر سازمان شما قصد توسعه نرمافزاری را دارد یا در میانه مسیر توسعه یک نرمافزار است، به جای تست سفید بهترین کار استفاده از خدمات «توسعه نرمافزار امن» و دستیابی به چرخه حیات سیستم امن (SDLC) خواهد بود. این خدمات نیز توسط اعتباران ارائه میگردد.
سلام تعرفه هاتون رو می خواستم. از چه طریقی دریافت کنم؟