it-swarm-korea.com

보안 감사 비용은 얼마입니까?

PHP CMS의 경우 보안 감사, 화이트 박스 및 블랙 박스 모두에 대해 예산을 책정해야합니까? 코드베이스는 약 85,000 LOC ( "코드 라인")이며 아마도 노스를 사용할 것입니다 테스트를위한 미국 회사. 감사 비용이 $ 10-20k 또는 $ 100k 이상이 될지 전혀 모르겠습니다. 나는 정확한 견적을 요구하지 않고 일반적인 추측만으로 기대할 사항을 알 수 있습니다. 블랙 박스와 화이트 박스 테스트 사이의 추정치도 도움이 될 것입니다.

편집 :

가능한 많은 요소를 나열하려고합니다.

  • 앱 유형 : Wordpress, Joomla 또는 Drupal과 유사한 웹 컨텐츠 관리 시스템.
  • 테스트 유형 : 광범위한 침투 테스트 및 일반적인 취약성 스캔. 소스 코드가 공개적으로 제공되므로 추가적인 취약점에 대한 코드 검토.
  • LOC : 약 85,000.
  • 언어 : PHP, JavaScript.
  • 보고 대상 : 개발자.
  • 테스트 위치 : 원격으로 수행 할 수 있습니다.
  • 사용자 역할은 가변적입니다. 그룹에 할당되며 각 그룹에 여러 권한을 부여 할 수 있습니다. 원하는 수의 그룹을 만들 수 있습니다.

어떤 다른 정보가 관련이 있는지 모르겠습니다. 실제로 저는 "특정 정보를 바탕으로 보안 감사를 위해 $ X에서 $ X 사이의 예산을 책정 할 수 있습니다."와 같은 매우 구체적인 수치를 찾고 있지 않습니다. 기본 가격만으로도 무엇을 기대해야할지 전혀 모르므로 매우 유용합니다.

14
VirtuosiMedia

내 거친 추측은 다음과 같습니다.

코드 검토 :

1000 LOC = 1 hour
85000 LOC = 85 hours

시간당 요금 : 100 $/hr

85 hours * 100$/hr = 8500$

소프트웨어가 ORM과 잘 문서화 된 MVC 프레임 워크를 사용하는 경우 코드 검토 속도를 크게 높일 수 있습니다. 상당히.

6
Olivier Lalonde

보안 감사의 비용과 범위에 영향을 미치는 수많은 요인이 있습니다. 따라서 범위에 대해 더 자세히 설명하지 않으면 구장을 제공하기가 어렵습니다. 예를 들면 다음과 같습니다.

  • 어떤 유형의 보안 감사가 필요합니까?
  • 블랙 박스는 무엇인가요? 왜 당신이 그것을 원합니까-그것은 비용을 상당히 증가시킬 수 있습니다.
  • 코드 검토를 포함하고 있습니까?
  • 앱은 어떤 언어로 작성됩니까?
  • 보고서를 작성하는 대상은 무엇입니까?
  • 시험의 목적은 무엇입니까?
    규정 준수, 감사, 인증,
    다른?
  • 원격, 현장에서 테스트 중
    실시간 환경 또는 테스트?
  • 응용 프로그램은 무엇을합니까?
  • 존재하는 사용자 역할은 몇 명입니까?
  • 기타.

taxonomyextension 을 참조하십시오. 실제로 일부 다른 블로그게시물 은 여기에 매우 관련이 있습니다. 현지 공급 업체에 문의하여 견적을 받으십시오.

3
Rory Alsop

이것은 실제로 최종 가격을 결정하는 많은 요인에 달려 있습니다.

소스 코드 분석 비용은 킬로바이트 단위의 라인 또는 코드 양을 계산하여 계산할 수 있습니다. 내가 본 한, 코드의 크기로 계산하는 두 번째 방법이 더 많이 사용됩니다. 라인 당 가격이 더 정확할 수는 있지만, 이러한 접근 방식은 매우 잘못 작성된 코드와 같은 예상치 못한 것을 제거하지 못하므로 평가하는 데 훨씬 더 많은 시간이 걸립니다. 다른 사람들은 코드에서 발견 된 취약점을 추가로 계산합니다.

어떤 사람들은 가격이 서비스 품질에 달려 있다고 말할 수 있습니다. 나는 동의하지 않으며 이것이 항상 그런 것은 아니라고 말합니다. 새로운 서비스는 스스로를 증명해야하며 일반적으로 저렴한 가격과 중간 품질의 감사로 시작합니다. 실제 경험뿐만 아니라 개인 관리, 사용자 지원 등도 필요합니다. 브랜드 서비스는 더 높은 가격을 제공 할 수 있습니다. 그러나 브랜드 서비스가 쇠약 해 지거나 초보자가 잘 알려진 브랜드보다 더 나은 감사를 수행 할 수있는 가능성도 있습니다. 따라서 서비스에 대한 배경 지식을 얻고 권장 사항과 의견을 읽는 것이 좋습니다.

또한 가격은 서비스 제공 업체의 국가에 따라 다를 수 있습니다. 우리 모두 경제 환경이 다르게 발전했습니다.

이제 소스 코드 감사 자의 관점에서. 웹 애플리케이션의 경우 일반적으로 화이트 박스 및 블랙 박스 테스트가 결합됩니다. 이러한 경우 모호함을 통해 보안이 실제로 필요하지 않습니다. 그러나 다른 사람들은 먼저 블랙 박스 테스트를 한 다음 소스 코드에 액세스하는 것을 선호 할 수 있습니다. 소스 코드가 제공되면 실제 환경에서 테스트됩니다. 웹 사이트에만 액세스 할 수있는 경우 고객은 서버에 대한 액세스를 제공 할 수 있습니다.

이 모든 것을 요약하면 고정 가격을 정의하기가 어렵습니다. 고객은 일반적으로 모든 세부 사항과 향후 공동 작업에 대해 논의합니다. 프로세스는 다음과 같이 보일 수 있습니다. 코드를 제공하면 일정 시간 후에 보고서로 응답합니다. 코드를 다시 제공 할 수 있으며 코드의 버그가 사라질 때까지 해당 단계에 여러 개의 루프가 필요할 수 있습니다. 따라서 가격표가 아닌 연락처 양식이 자주 표시됩니다.

1
anonymous