การตรวจสอบความปลอดภัยของ Source Code
การวิเคราะห์แบบไม่ต้องรันโปรแกรม (SAST) และการวิเคราะห์องค์ประกอบซอฟต์แวร์ (SCA) เพื่อรักษาความปลอดภัยของโค้ดและ dependency ก่อนที่จะถึง Production
Source Code คือจุดที่การแก้ไขปัญหาด้านความปลอดภัยมีต้นทุนต่ำที่สุด และการละเลยมีต้นทุนสูงที่สุด ช่องโหว่ที่จับได้ในขั้นตอน Commit ใช้เวลาแก้ไขเพียงไม่กี่นาที ในขณะที่ช่องโหว่เดียวกันใน Production มีต้นทุนสูงกว่าหลายเท่า และอาจถูกใช้ประโยชน์ไปแล้วก่อนที่จะปรากฏใน Penetration Testing
บริการ Source Code Security ของ Vantage Point รวม Static Application Security Testing (SAST) ซึ่งวิเคราะห์โค้ดที่ท่านเขียนเอง เข้ากับ Software Composition Analysis (SCA) ซึ่งวิเคราะห์ Dependencies ที่ท่านนำเข้ามาใช้ ทั้งสองส่วนรวมกันครอบคลุม Code Supply Chain ทั้งหมดที่ส่งไปยัง Production
โครงการมักดำเนินการเป็นส่วนหนึ่งของโปรแกรม Secure SDLC แต่เราก็รับงานแบบ Standalone เช่นกัน สำหรับการตรวจสอบก่อนปล่อย Release การทำ Technical Due Diligence ในการควบรวมและซื้อกิจการ (M&A) และการประเมินโค้ดเบสที่รับช่วงต่อหลังการเข้าซื้อกิจการ
การแก้ไขในโค้ดมีต้นทุนต่ำกว่าการแก้ไขใน Production
Supply Chain คือส่วนหนึ่งของโค้ดเบสขององค์กรคุณ
แอปพลิเคชันสมัยใหม่โดยทั่วไปประกอบด้วยโค้ดของบุคคลที่สาม 80 ถึง 90% การทดสอบด้วย SCA คือวิธีเดียวที่ทำได้จริงในการทำให้ Attack Surface ส่วนนี้มองเห็นได้และจัดการได้
การวิเคราะห์แบบ Static เห็นในสิ่งที่การทดสอบแบบ Runtime ไม่เห็น
SAST มองเห็น Code Path ที่ DAST ไม่สามารถเข้าถึง ไม่ว่าจะเป็น Error Handler, Batch Job, Scheduled Task และฟังก์ชัน Admin ภายใน เมื่อรวมกันแล้วจะครอบคลุม Attack Surface มากขึ้นอย่างมีนัยสำคัญ
ทิศทางการกำกับดูแลกำลังมุ่งสู่ SSDF / SLSA
NIST SSDF และ SLSA กำลังนิยามใหม่ว่าหน่วยงานกำกับดูแลและลูกค้าคาดหวังหลักฐานใดเกี่ยวกับการพัฒนาที่ปลอดภัย ผลลัพธ์จาก SAST และ SCA เป็น Input หลักของหลักฐานเหล่านั้น
สิ่งที่เราทดสอบ
การวิเคราะห์ความปลอดภัยซอฟต์แวร์แบบไม่ต้องรัน (SAST)
การวิเคราะห์ในระดับ Source Code เพื่อระบุช่องโหว่ตั้งแต่ต้นน้ำของ SDLC ซึ่งเป็นจุดที่การแก้ไขมีต้นทุนต่ำที่สุด
- ตรรกะของการยืนยันตัวตนและการกำหนดสิทธิ์ (Authentication & Authorisation)
- Input Validation และ Output Encoding
- การจัดการ Session และ Cryptography
- เส้นทางการจัดการ Sensitive Data
- การเชื่อมต่อกับ Pipeline เมื่อจำเป็น
การวิเคราะห์องค์ประกอบซอฟต์แวร์ (SCA)
การค้นหา Component ของบุคคลที่สามที่มีช่องโหว่ ความเสี่ยงด้าน License Compliance และการเปิดเผยต่อ Supply Chain ทั้งใน Direct และ Transitive Dependencies
- Inventory ของ Component ในโค้ดเบสทั้งหมด
- ช่องโหว่ที่ทราบพร้อมการคัดกรองความเป็นไปได้ในการใช้ประโยชน์
- การประเมิน License Compliance และพันธะที่ผูกพัน
- การจัดระบบ Direct และ Transitive Dependencies
- Component ที่ล้าสมัยหรือไม่มีการบำรุงรักษา
ช่องโหว่ที่เรามักพบจากการทดสอบในลักษณะนี้
ข้อมูลที่นำเสนอเป็นกลุ่มช่องโหว่ที่ที่ปรึกษาของเรามักพบจากการทดสอบในลักษณะเดียวกัน ความรุนแรงและความถี่จะแตกต่างกันตามสภาพแวดล้อมและระดับความพร้อมของแต่ละองค์กร
Dependencies ที่มีช่องโหว่ที่ทราบ
CVE ระดับ High-Severity ในไลบรารีที่ใช้กันอย่างแพร่หลาย ซึ่งทีมไม่รู้ว่ามีการเรียกใช้แบบ Transitive ลักษณะเดียวกับการเปิดเผยใน Log4Shell
Cryptography ที่ไม่ปลอดภัย
Key ที่ Hardcode, การ Hash รหัสผ่านที่อ่อนแอ, Cipher ที่ล้าสมัย, การเข้ารหัสแบบ ECB ที่ใช้กับข้อมูล PII
Code Path ที่เสี่ยงต่อ Injection
SQL Query ที่สร้างด้วยการต่อ String, การรันคำสั่งระบบด้วย Input จากผู้ใช้ และการ Deserialise ข้อมูลที่ไม่น่าเชื่อถือ
ช่องโหว่ในการกำหนดสิทธิ์ในโค้ด
Endpoint ที่ไม่มีการตรวจสอบ Role, เส้นทาง Business Logic ที่เชื่อถือ Identity ที่ Client ส่งมา และฟังก์ชัน Admin ที่เข้าถึงได้โดยไม่มี Guard ตามที่ควร
Secrets และ Credentials ใน Source Code
API Key ที่ Check-In ใน Repository, ไฟล์.env ใน Build Artefact และ Credentials ของฐานข้อมูลใน Configuration ที่ Commit เข้า Public Branch
ความเสี่ยงด้าน License และกฎหมาย
Dependencies ที่อยู่ภายใต้ GPL/AGPL ถูกดึงเข้าใน Distribution เชิงพาณิชย์ โค้ดที่มี License ไม่ชัดเจนที่ส่งมอบให้ลูกค้า และการขาดการอ้างอิงผู้สร้าง
แนวทางการทำงานที่มีโครงสร้างชัดเจน ขับเคลื่อนด้วยข้อมูลเชิงลึกในทุกการทดสอบ
ทุกโครงการดำเนินตามแนวทางที่มีระเบียบวินัยเดียวกันผ่านแพลตฟอร์ม Velocity เพื่อให้คุณภาพ การติดตามตรวจสอบ และการรายงานมีมาตรฐานเดียวกันในทุกทีม
การกำหนดขอบเขต
กำหนดสินทรัพย์ สภาพแวดล้อม ข้อกำหนดในการทดสอบ และเกณฑ์การยอมรับร่วมกับผู้เกี่ยวข้องด้านเทคนิคและความปลอดภัย
การดำเนินการ
การทดสอบแบบ Manual และด้วยเครื่องมือโดยที่ปรึกษาที่ได้รับการรับรอง CREST พร้อมเก็บหลักฐานในทุกขั้นตอน
การตรวจสอบความถูกต้อง
ทุกการค้นพบจะถูกทำซ้ำ ประเมินระดับความเสี่ยงด้วย CVSS และยืนยันโดยที่ปรึกษาท่านที่สองก่อนรายงานผล
การรายงาน
รายงานที่ลงนามด้วยรหัส พร้อมการอ้างอิง Test Case การจัดระดับความรุนแรง ขั้นตอนการทำซ้ำ และแนวทางแก้ไข
สรุปผลและการทดสอบซ้ำ
การประชุมสรุปผลกับผู้เกี่ยวข้อง การช่วยจัดลำดับความสำคัญ และการทดสอบซ้ำหลังการแก้ไข
อ้างอิงมาตรฐานสากลที่ได้รับการยอมรับ
รายงานที่ออกแบบมาสำหรับงานตรวจสอบ ทีมวิศวกร และผู้บริหาร
ทุกโครงการจะส่งมอบเอกสารหลักฐานที่ตรวจสอบได้ ติดตามได้ และพร้อมส่งหน่วยงานกำกับดูแล, สร้างผ่าน Velocity และลงนามด้วยรหัสเพื่อการตรวจสอบความถูกต้อง
PDF · JSON · XML · CSV · รองรับรายงานหลายภาษา · CVSS 3.0 / 3.1 / 4.0
- รายงานฉบับสมบูรณ์พร้อมลายเซ็นดิจิทัล
- ตำแหน่งใน Code และขั้นตอนการทำซ้ำของแต่ละช่องโหว่
- การให้คะแนนระดับความรุนแรง ความเป็นไปได้ในการใช้ประโยชน์ และ CVSS
- แนวทางการแก้ไขที่นักพัฒนานำไปใช้ได้ทันที
- Inventory ของ Component และทะเบียน License
- คำแนะนำการเชื่อมต่อ Pipeline
- การทดสอบซ้ำหลังการแก้ไข
คำถามจากผู้สนใจใช้บริการ
จำเป็นต้องเข้าถึง Source Tree ทั้งหมดของเราหรือไม่? +
สำหรับ SAST จำเป็น โดยอยู่ภายใต้ Rules of Engagement และข้อตกลงการรักษาความลับ เราสามารถทำงานบนพื้นที่เก็บข้อมูลที่คัดลอกมาให้ในสภาพแวดล้อมโครงการชั่วคราว หรือทำงานในสภาพแวดล้อมขององค์กรคุณภายใต้การควบคุมการเข้าถึงได้
รองรับภาษาและแนวทางปฏิบัติใดบ้าง? +
รองรับภาษาที่ใช้กันแพร่หลายในองค์กรทั้งหมด ได้แก่ Java, .NET, JavaScript/TypeScript, Python, Go, C/C++, Swift, Kotlin หากท่านใช้กลุ่มของภาษาที่ไม่ค่อยพบทั่วไป เราจะยืนยันการครอบคลุมในขั้นตอนการกำหนดขอบเขต
จะรายงานทุกช่องโหว่ที่พบเจอของ SAST หรือคัดกรองก่อน? +
เราคัดกรองก่อนเพราะว่าข้อมูลดิบของ SAST มีความคลาดเคลื่อนโดยธรรมชาติ ช่องโหว่ที่พบเจอจะผ่านการตรวจสอบยืนยัน พิจารณาในบริบทของแอปพลิเคชัน และจัดลำดับความสำคัญตามความเป็นไปได้ในการใช้ประโยชน์ก่อนที่จะปรากฏในรายงาน เพื่อให้ทีมวิศวกรใช้เวลากับช่องโหว่ที่สำคัญจริง
จับช่องโหว่ในจุดที่การแก้ไขมีต้นทุนต่ำที่สุด
พูดคุยกับผู้เชี่ยวชาญของเราเกี่ยวกับการกำหนดขอบเขตของ SAST, SCA หรือโปรแกรม Source Code Security แบบครบวงจร