it-swarm-es.com

¿Cuánto cuesta una auditoría de seguridad?

Para un PHP CMS, ¿qué debería esperar presupuestar para una auditoría de seguridad, tanto whitebox como blackbox? La base de código es de aproximadamente 85,000 LOC ("Líneas de Código") y probablemente usaría un Norte Empresa estadounidense para pruebas. Realmente no tengo idea de si una auditoría costaría $ 10-20k o más de $ 100k. No estoy pidiendo una cotización exacta, solo una estimación general para saber qué esperar. Si pudiera separarse sus estimaciones entre las pruebas de blackbox y whitebox, eso también sería útil.

Editar:

Trataré de enumerar tantos factores como pueda.

  • Tipo de aplicación: un sistema de gestión de contenido web similar a Wordpress, Joomla o Drupal.
  • Tipos de pruebas: pruebas de penetración amplia y un análisis de vulnerabilidades comunes. Revisión de código para vulnerabilidades adicionales ya que el código fuente estará disponible públicamente.
  • LOC: Aproximadamente 85,000.
  • Lenguajes: PHP, JavaScript.
  • Público para el informe: desarrolladores.
  • Ubicación de la prueba: se puede hacer de forma remota.
  • Los roles de usuario son variables. Se asignan a grupos y cada grupo puede recibir cualquier número de permisos. Se puede crear cualquier número de grupos.

No sé qué otra información podría ser relevante. Realmente, no estoy buscando un número ultra específico, solo una cifra aproximada como "Según la información que proporcionó, probablemente podría esperar un presupuesto entre $ X y $ X para una auditoría de seguridad". Incluso un precio de referencia sería extremadamente útil, ya que realmente no tengo idea de qué esperar.

14
VirtuosiMedia

Aquí está mi estimación aproximada:

Revisión de código:

1000 LOC = 1 hour
85000 LOC = 85 hours

Tarifa por hora: 100 $/hora

85 hours * 100$/hr = 8500$

Si su software utiliza un ORM y un marco MVC bien documentado, puede acelerar la revisión del código significativamente.

6
Olivier Lalonde

De acuerdo, hay una gran cantidad de factores que afectan el costo y el alcance de una auditoría de seguridad, por lo que es tan difícil brindarle un estadio sin muchos más detalles sobre el alcance. Por ejemplo:

  • ¿Qué tipo de auditoría de seguridad requiere?
  • ¿Qué consideras caja negra? ¿Y por qué lo quieres? Puede aumentar el costo considerablemente.
  • ¿Estás incluyendo la revisión de código?
  • ¿En qué idiomas está escrita la aplicación?
  • ¿Para qué audiencia se redactará el informe?
  • ¿Cuál es el propósito de la prueba?
    Cumplimiento, auditoría, certificación,
    ¿otro?
  • Está probando en el sitio, remoto, en
    entorno en vivo o prueba?
  • ¿Qué hace la aplicación?
  • ¿Cuántos roles de usuario existen?
  • etc.

Vea nuestro taxonomía y extensión a él. De hecho, algunos de nuestros otro blogpublicaciones son muy relevantes aquí. Hable con sus proveedores locales y obtenga un presupuesto.

3
Rory Alsop

Esto realmente depende de muchos factores que hacen que el precio final.

Los costos para el análisis del código fuente se pueden contar contando líneas o cantidad de código en kilobytes. Por lo que he visto, más popular es el segundo método: contar por tamaño de código. Si bien el precio por líneas puede ser más preciso, este enfoque no elimina cosas inesperadas, como un código mal escrito, que definitivamente tomará mucho más tiempo evaluarlo. Otros también cuentan vulnerabilidades encontradas en el código.

Algunas personas podrían decir que el precio depende de la calidad del servicio. No estaría de acuerdo y diría que este no es siempre el caso. Los nuevos servicios deben probarse a sí mismos y, por lo general, comienzan con precios más bajos y una calidad de auditoría media: no solo es esencial la experiencia práctica, sino también la gestión personal, el apoyo a los usuarios, etc. Los servicios de marca pueden pagar precios más altos. Pero también existe la posibilidad de que el servicio de la marca empiece a fallar, o los novatos sean capaces de realizar una mejor auditoría que la conocida marca. Por lo tanto, es aconsejable obtener algunos antecedentes sobre el servicio, leer recomendaciones y comentarios.

Además, el precio puede depender del país del proveedor de servicios. Todos tenemos un entorno económico desarrollado de manera diferente.

Ahora desde la perspectiva del auditor del código fuente. Para aplicaciones web, generalmente las pruebas de caja blanca y caja negra se combinan juntas. Realmente no hay necesidad de seguridad a través de la oscuridad en tal caso. Pero bueno, otros pueden preferir hacer una prueba de blackbox primero y luego dar acceso al código fuente. Si se proporciona el código fuente, definitivamente se probará en un entorno en vivo. Si solo tiene acceso al sitio web, el cliente puede proporcionar acceso al servidor.

Resumiendo todo esto, es difícil definir un precio fijo. Los clientes generalmente discuten todos los detalles y su futuro trabajo colaborativo. El proceso puede tener este aspecto: usted da el código, ellos responden con un informe después de un tiempo. Puede volver a dar código y esos pasos pueden requerir varios bucles hasta que desaparezcan los errores en el código. Es por eso que a menudo ve un formulario de contacto en lugar de una lista de precios.

1
anonymous