Servicii · Securitate

Security Code Review

Un inginer senior citește codul tău și găsește problemele de securitate pe care un scanner automat nu le prinde și un demo nu le arată. La final ai un document clar: ce e în neregulă, cât de grav, și exact cum se repară.

Analiză manuală, sprijinită de unelte, nu un raport generat automat. Uneltele găsesc tipare; judecata de inginer senior decide ce e o problemă reală, cât de gravă e în contextul aplicației tale, și cum se repară. Diferența se vede în livrabil: nu o listă de 300 de avertismente, ci constatările care contează, triate și explicate.

Ce verific

  • Autentificare și autorizare: acces neautorizat între conturi (IDOR), escaladare de privilegii, sesiuni și token-uri
  • Injecție: SQL, comenzi de sistem, XSS, deserializare nesigură
  • Secrete și configurare: chei și parole în cod, .env urcat, secrete în istoricul git
  • Dependențe: pachete cu vulnerabilități cunoscute (CVE)
  • Gestionarea datelor: validare pe server, criptare, hash-uirea parolelor, expunere de date personale
  • Tratarea erorilor: eșecuri silențioase, scurgeri de informații, logare și monitorizare
  • Fluxuri sensibile: plăți, date personale, operațiuni ireversibile
  • Cod construit cu AI: tiparele tipice care apar când codul e generat rapid, fără supraveghere de inginer

Ce primești

  1. Raport scris, structurat profesional: rezumat executiv de o pagină pentru decident, plus constatări detaliate pentru echipa tehnică.
  2. Fiecare problemă cu gravitate, locație exactă (fișier:linie), dovadă, impact, și remedierea concretă, cu cod.
  3. Plan de remediere prioritizat pe risc: ce se repară în 24 de ore, ce în sprint, ce e datorie tehnică.
  4. Ședință de predare (30 - 60 min): trec prin fiecare constatare cu echipa ta.
  5. O reverificare inclusă: după ce implementezi remedierile, confirm în scris ce e închis.

Vezi un raport model → (document de exemplu, cu date fictive)

Cât durează

Depinde de mărimea codebase-ului: de la 2 - 3 zile pentru o aplicație mică, până la 1 - 2 săptămâni pentru una medie. Preț fix, durată fixă, stabilite după un apel de evaluare de 20 de minute. Fără „depinde" pe parcurs: scopul e enumerat în ofertă înainte să începem.

Onest, ca să nu fie neînțelegeri. Acesta este un serviciu comercial de evaluare a codului. Nu este test de penetrare (atac activ), nu acoperă infrastructura, și nu este „audit de securitate cibernetică" în sensul OUG 155/2024 - COXSWAIN nu este auditor atestat DNSC. Dacă ai nevoie de acel audit, îți spun direct și te îndrum către un auditor atestat.

Cum lucrăm

  1. Apel de 20 de minute. Ce ai, ce te îngrijorează. Gratuit, fără angajament.
  2. Ofertă cu preț fix și durată fixă, scrisă, cu livrabile enumerate.
  3. Execuție, fără să-ți opresc producția.
  4. Raport și ședință de predare cu echipa ta.
  5. Reverificare după ce repari.

Lucrez confidențial. Semnez NDA dacă e nevoie, înainte să văd o linie de cod.

Cere o ofertă