Галузь: ІТ та телекомунікації
Компанія: OpenCart
Місцезнаходження: Туен Мун, Гонконг
Розмір компанії: 11-50 співробітників
Продукт: Invicti Enterprise
“Завдяки скануванню за допомогою Invicti Enterprise ми тепер більш впевнені в нашому коді. Знання того, що ми можемо розгорнути тестовий сайт і просканувати його на наявність останніх загроз за лічені хвилини, допомагає нам підтримувати максимальну безпеку найновіших версій.”
James Allsup
технічний консультант проєкту в OpenCart
OpenCart – це вебдодаток для кошика для покупок з відкритим кодом. Він встановлений на понад 300 000 бізнес-сайтів та вебсайтів електронної комерції, які варіюються від одноосібних стартапів до великих організацій та благодійних фондів. Така популярність також привертає багато уваги, й іноді шкідливої. Тому команда розробників OpenCart докладає всіх зусиль, щоб створити максимально безпечне програмне забезпечення.
Що потрібно для розробки безпечного вебдодатка з відкритим кодом?
Плюси: Наявність спільноти
Багато проєктів відкритим кодом мають відданих послідовників, які іноді роблять усе можливе для покращення проєкту. Такий хороший продукт як OpenCart має цю перевагу; користувачі спільноти діляться результатами незалежних аудитів безпеки та співпрацюють, повідомляючи про проблеми, що дозволяє розробникам виправляти будь-які можливі недоліки безпеки та випускати оновлення до їх оприлюднення.
Мінуси: Відсутність (доступних) ресурсів та автоматизованих інструментів
У сучасному швидкоплинному світі просто спільноти недостатньо. Можна уявити, що може статися, якщо зловмисник знайде вразливість і замість того, щоб повідомити про неї розробникам OpenCart, він почне експлуатувати її в реальних умовах.
Розробники OpenCart добре усвідомлюють такий ризик і раніше намагалися використовувати кілька автоматизованих інструментів для виявлення недоліків безпеки свого проєкту. Але, як і майже в будь-якому іншому open-source проєкті, ресурси обмежені, і, як пояснив James Allsup, технічний консультант проєкту:
“Більшість інших інструментів, які ми пробували, завжди були або занадто складними, або недостатньо просунутими.”
Використання Invicti Enterprise для безпеки проєкту OpenCart
“З самого початку над досвід використання продукту був ідеальним. Від чудового, простого у використанні інтерфейсу та акуратного API-рішення, до дрібниць, таких як підтримка двофакторної автентифікації та журналів аудиту. Це чудовий інструмент, який відповідає всім нашим вимогам.”
Автоматизоване сканування безпеки вебдодатків через API
Invicti завжди пишалися своїм API (і це справедливо). Але також про його якість кажуть клієнти:
“Ми використовуємо Jenkins для автоматизації багатьох наших тестів, таких як сканування на наявність помилок, стандартів, повторень тощо. Ми також створюємо повну інсталяцію кожної збірки, щоб заощадити час, коли хочемо протестувати покращення на новій, активній інсталяції. Наприкінці етапу збірки ми підключаємося до API Invicti Enterprise, щоб запустити автоматичне сканування вебвразливостей на новій інсталяції.
Те, що ми можемо під’єднатися до нашої наявної інфраструктури, стало величезним бонусом і заощаджує нам час на ручний запуск сканувань для нової інсталяції.”
Розробники мають більше впевненості у безпеці з Invicti Enterprise
З моменту імплементації Invicti виявив сотні вразливостей у проєктах з відкритим кодом (і їх кількість зростає), хоча в проєкті OpenCart він ще не знайшов нічого критичного, і розробники сподіваються, що так буде й надалі. Проте, інтегруючи автоматизоване тестування вебдодатків у процес розробки, вони “більше впевнені у безпеці завдяки скануванню за допомогою Invicti Enterprise. Знання того, що ми можемо розгорнути тестовий сайт і просканувати його на наявність останніх загроз за лічені хвилини, допомагає нам підтримувати максимальну безпеку найновіших релізів.”
