EN ID TH
Source Code Security

Source Code Security

Static analysis (SAST) dan software composition analysis (SCA), mengamankan kode Anda dan dependency-nya sebelum mencapai production.

Source code adalah tempat masalah keamanan paling murah untuk diperbaiki dan paling mahal jika dibiarkan. Kelemahan yang ditemukan saat commit hanya butuh waktu beberapa menit untuk diremediasi; kelemahan yang sama di production memerlukan biaya berlipat, dan mungkin sudah dieksploitasi pada saat muncul di laporan penetration test.

Layanan keamanan source code Vantage Point menggabungkan static application security testing (SAST), yang menganalisis kode Anda sendiri, dengan software composition analysis (SCA), yang menganalisis dependency yang Anda gunakan. Keduanya secara bersama-sama melingkup seluruh code-supply chain yang sampai ke production.

Pengujian biasanya disampaikan sebagai bagian dari program Secure SDLC, namun kami juga menjalankannya sebagai asesmen mandiri untuk sign-off pre-release, due diligence teknis M&A, dan codebase pasca-akuisisi yang diwarisi tanpa riwayat keamanan.

Mengapa Hal Ini Penting

Memperbaiki di kode jauh lebih murah daripada memperbaiki di production.

Supply chain adalah bagian dari codebase Anda

Aplikasi modern biasanya 80–90% terdiri dari kode pihak ketiga. SCA adalah satu-satunya cara praktis untuk menjaga permukaan tersebut tetap terlihat dan dapat ditindaklanjuti.

Static analysis menemukan apa yang tidak bisa ditangkap runtime testing

SAST melihat code path yang tidak pernah dijangkau DAST, error handler, batch job, scheduled task, fungsi admin internal. Jika keduanya digabungkan, permukaan serangan yang tercakup jauh lebih luas.

Kepatuhan bergerak menuju SSDF / SLSA

NIST SSDF dan SLSA mendefinisikan ulang bukti apa yang akan diminta regulator dan pelanggan terkait pengembangan yang aman. Hasil SAST dan SCA adalah input inti bagi bukti tersebut.

Ruang Lingkup & Cakupan

Yang kami uji.

SAST, static application security testing

Analisis tingkat source code yang mengidentifikasi kelemahan sejak awal SDLC, saat biaya remediasi paling rendah.

  • Logika autentikasi dan otorisasi
  • Validasi input dan encoding output
  • Manajemen session dan kriptografi
  • Jalur penanganan data sensitif
  • Integrasi pipeline jika berlaku

SCA, Software Composition Analysis

Menemukan komponen pihak ketiga yang sudah diketahui rentan, risiko kepatuhan lisensi, dan eksposur supply chain di seluruh dependency langsung dan transitif.

  • Inventaris komponen di seluruh codebase
  • Kerentanan yang sudah diketahui beserta triage exploitability
  • Analisis kepatuhan lisensi dan kewajiban
  • Pemetaan dependency langsung dan transitif
  • Komponen yang sudah usang atau tidak dipelihara
Yang biasa kami temukan

Kelemahan yang secara konsisten muncul pada engagement seperti ini.

Dirangkum dari kategori temuan yang umum dihasilkan konsultan kami pada engagement sejenis. Tingkat keparahan dan frekuensi bervariasi sesuai lingkungan dan kematangan organisasi.

Dependency yang sudah diketahui rentan

CVE tingkat tinggi pada library yang banyak digunakan namun tim tidak menyadari menggunakannya secara transitif, tipikal eksposur supply-chain ala Log4Shell.

Kriptografi yang tidak aman

Hardcoded key, hashing yang lemah untuk credential, cipher usang, ECB-mode encryption pada data PII.

Code path rentan injeksi

SQL query yang dibangun dengan string concatenation, command execution dengan input dari pengguna, deserialisasi data yang tidak dipercaya.

Kelemahan otorisasi dalam kode

Endpoint yang tidak memiliki role check, jalur business-logic yang mempercayai identitas yang disediakan client, fungsi admin yang dapat dijangkau tanpa guard yang diharapkan.

Secret dan credential di dalam source

API key yang di-commit ke repository, file .env di dalam build artefact, credential database dalam konfigurasi yang masuk ke branch publik.

Eksposur lisensi & legal

Dependency berlisensi GPL/AGPL yang ditarik ke distribusi proprietary, kode tanpa lisensi yang jelas yang didistribusikan ke pelanggan, atribusi yang hilang.

Model Engagement

Jalur kerja terstruktur dan berbasis intelijen pada setiap engagement.

Setiap engagement mengikuti alur disiplin yang sama melalui platform Velocity, sehingga kualitas, ketertelusuran, dan pelaporan konsisten di seluruh tim.

Penetapan Ruang Lingkup

Tetapkan aset, lingkungan, Rules of Engagement, dan kriteria penerimaan bersama para pemangku kepentingan teknis dan keamanan.

Pelaksanaan

Pengujian manual dan berbantuan tools oleh konsultan tersertifikasi CREST, dengan bukti yang ditangkap pada setiap langkah.

Validasi

Setiap temuan direproduksi, dinilai risikonya menggunakan CVSS, dan dikonfirmasi oleh konsultan kedua sebelum dilaporkan.

Pelaporan

Laporan yang ditandatangani secara kriptografis, dengan ketertelusuran ke setiap Test Case, peringkat tingkat keparahan, langkah reproduksi, dan rekomendasi remediasi.

Debrief & Retest

Pemaparan temuan kepada pemangku kepentingan, dukungan prioritisasi, dan siklus retest atas temuan yang telah diremediasi.

Standar & Kerangka Kerja

Dipetakan ke baseline yang diakui industri.

OWASP ASVS
OWASP Top 10
NIST SSDF
SLSA
ISO 27001:2022
PCI DSS v4.0
Hasil Kerja

Laporan yang dibuat untuk kebutuhan audit, engineering, dan eksekutif.

Setiap engagement menghasilkan artefak yang dapat diverifikasi, ditelusuri, dan siap dihadapkan ke regulator, diproduksi oleh Velocity dan ditandatangani secara kriptografis.

PDF · JSON · XML · CSV · Pelaporan Multi-Bahasa Didukung · CVSS 3.0 / 3.1 / 4.0

  • Laporan final yang ditandatangani secara kriptografis
  • Lokasi kode dan reproduksi per temuan
  • Penilaian severity, exploitability, dan CVSS
  • Panduan remediasi yang siap diterapkan developer
  • Inventaris komponen dan daftar lisensi
  • Rekomendasi integrasi pipeline
  • Retest pada temuan yang sudah diremediasi
Pertanyaan yang Sering Diajukan

Pertanyaan umum dari calon klien.

Apakah Anda memerlukan akses ke seluruh source tree kami? +

Untuk SAST, ya, dalam kerangka Rules of Engagement dan ketentuan kerahasiaan yang disepakati. Kami dapat bekerja pada repository yang di-clone ke environment pengujian sementara, atau di environment Anda dengan akses terkontrol.

Bahasa dan framework apa yang Anda dukung? +

Seluruh bahasa yang umum dipakai di lingkungan perusahaan: Java, .NET, JavaScript/TypeScript, Python, Go, C/C++, Swift, Kotlin. Untuk stack yang kurang umum, kami memastikan cakupannya saat penentuan ruang lingkup.

Apakah Anda akan menandai setiap temuan SAST, atau melakukan triage terlebih dahulu? +

Kami melakukan triage terlebih dahulu. Output mentah SAST secara alami sangat berisik. Temuan divalidasi, dikontekstualisasikan terhadap aplikasi, dan diprioritaskan berdasarkan exploitability sebelum masuk laporan, sehingga waktu engineering Anda fokus pada masalah yang benar-benar penting.

Tangkap kelemahan di tempat yang paling murah untuk diperbaiki.

Hubungi konsultan kami untuk menentukan ruang lingkup SAST, SCA, atau program gabungan keamanan source code.

Konsultasi dengan Pakar