Отрасль: IT и телекоммуникации
Компания: OpenCart
Местонахождение: Туэн Мун, Гонконг
Размер компании: 11-50 сотрудников
Продукт: Invicti Enterprise
“Благодаря сканированию с помощью Invicti Enterprise мы теперь более уверены в нашем коде. Знание того, что мы можем развернуть тестовый сайт и просканировать его на наличие последних угроз за считанные минуты, помогает нам поддерживать максимальную безопасность новейших версий.”
James Allsup
технический консультант проекта в OpenCart
OpenCart – это веб-приложение для корзины для покупок с открытым кодом. Оно установлено более чем на 300 000 бизнес-сайтов и веб-сайтов электронной коммерции, которые варьируются от стартапов до крупных организаций и благотворительных фондов. Такая популярность также привлекает много внимания, иногда и вредоносного. Поэтому команда разработчиков OpenCart прилагает все усилия, чтобы создать максимально безопасное программное обеспечение.
Что нужно для разработки безопасного веб-приложения с открытым кодом?
Плюсы: Наличие сообщества
Многие проекты открытым кодом имеют преданных последователей, которые иногда делают все возможное для улучшения проекта. Такой хороший продукт, как OpenCart, имеет это преимущество; пользователи сообщества делятся результатами независимых аудитов безопасности и сотрудничают, сообщая о проблемах, что позволяет разработчикам устранять любые возможные недостатки безопасности и выпускать обновления до их публикации.
Минусы: Отсутствие (доступных) ресурсов и инструментов
В современном мире просто сообщества недостаточно. Можно представить, что может произойти, если злоумышленник найдет уязвимость и вместо того, чтобы сообщить о ней разработчикам OpenCart, начнет эксплуатировать ее в реальных условиях.
Разработчики OpenCart хорошо осознают такой риск и пытались использовать несколько автоматизированных инструментов для выявления недостатков безопасности в своем проекте. Но, как и почти в любом другом open-source проекте, ресурсы ограничены, и, как объяснил James Allsup, технический консультант проекта:
“Большинство других инструментов, которые мы пробовали, всегда были либо слишком сложными, либо недостаточно продвинутыми.”
Использование Invicti Enterprise для безопасности проекта OpenCart
“С самого начала опыт использования продукта был идеальным. От превосходного, простого в использовании интерфейса и аккуратного API-решения, до мелочей, таких как поддержка двухфакторной аутентификации и журналов аудита. Это удивительный инструмент, отвечающий всем нашим требованиям.”
Автоматизированное сканирование безопасности веб-приложений через API
Invicti всегда гордились своим API (и это справедливо). Но также о его качестве говорят клиенты:
“Мы используем Jenkins для автоматизации многих наших тестов, таких как сканирование на наличие ошибок, стандартов, повторений и так далее. Мы также создаем полную инсталляцию каждой сборки, чтобы сэкономить время, когда хотим протестировать улучшения на новой, активной инсталляции. В конце этапа сборки мы подключаемся к API Invicti Enterprise, чтобы запустить автоматическое сканирование веб-уязвимостей на новой инсталляции.
То, что мы можем подключиться к нашей существующей инфраструктуре, стало огромным бонусом и экономит нам время на ручной запуск сканирования для новой инсталляции.”
Разработчики имеют больше уверенности в безопасности с помощью Invicti Enterprise
С момента имплементации Invicti обнаружил сотни уязвимостей в проектах с открытым кодом (и их количество растет), хотя в проекте OpenCart он еще не обнаружил ничего критического, и разработчики надеются, что так будет и дальше. Однако интегрируя автоматизированное тестирование веб-приложений в процесс разработки, они “больше уверены в безопасности благодаря сканированию с помощью Invicti Enterprise. Знание того, что мы можем развернуть тестовый сайт и просканировать его на наличие последних угроз за считанные минуты, помогает нам поддерживать максимальную безопасность новейших релизов.”
