Martin Hořický
Partner • Digital Services
S rostoucím výskytem útoků na webové a mobilní aplikace roste i riziko zneužití chyb v jejich kódu či konfiguraci. Bezpečnostní zranitelnosti často unikají tradičním funkčním testům, protože se neprojeví jako chyba v chování aplikace.
Bezpečnostní analýza proto zahrnuje specializované techniky, které umožňují odhalit slabiny ještě před tím, než mohou být zneužity. Mezi nejpoužívanější metody patří statická (SAST) a dynamická (DAST) analýza zdrojového kódu.
Co je statická analýza?
Na rozdíl od dynamického testování probíhá statická analýza bez spuštění aplikace – přímo nad jejím zdrojovým kódem:
- Zaměřuje se na hledání chyb a zranitelností v kódu ještě před nasazením.
- Umožňuje odhalit rizika v logice, vstupním zpracování nebo oprávněních.
- Identifikuje problémy jako jsou SQL injection, nesprávná práce s hesly nebo nedostatečné ověření identity.
- Analýza probíhá automatizovaně pomocí specializovaných nástrojů, často již během vývoje.
Z hlediska bezpečnosti jde o významný nástroj pro prevenci, díky včasnému odhalení slabin snižuje náklady na opravy a zvyšuje celkovou kvalitu aplikace.
Co je dynamická analýza?
Na rozdíl od statické analýzy se dynamická analýza provádí na spuštěné aplikaci a sleduje její chování v reálném čase:
- Zaměřuje se na reakce systému na různé vstupy, interakce a simulované útoky.
- Odkryje zranitelnosti typu SQL injection, XSS nebo path traversal.
- Ověřuje bezpečnost API, formulářů a řízení přístupů k citlivým datům.
Z hlediska bezpečnosti pomáhá odhalit slabiny, které vznikají až při běhu aplikace a které by statická kontrola nemusela odhalit. Je tak významnou součástí komplexního přístupu k testování aplikací.
Proč zavést bezpečnostní analýzu aplikací?
| Přínos | Popis |
|---|---|
| Zvýšení bezpečnostní úrovně aplikací | Slabiny jsou identifikovány dříve, než mohou být zneužity. |
| Efektivita a úspora nákladů | Včasné odhalení problémů výrazně snižuje náklady na jejich odstranění. |
| Zpětná vazba pro vývojáře | Podporuje rychlejší a bezpečnější vývoj softwaru. |
| Soulad s právními a bezpečnostními požadavky | Naplňuje požadavky norem a regulací jako DORA, NIS2, ISO 27001. |
| Snížení rizika úspěšného kybernetického útoku | Kombinací statické a dynamické analýzy lze výrazně omezit prostor pro útok. |
Jaké požadavky stanovuje DORA v souvislosti s testováním aplikací?
01
Testování musí být součástí komplexního rámce řízení ICT rizik , který zahrnuje prevenci, detekci, reakci a obnovu v případě kybernetických incidentů.
02
Organizace musí pravidelně vyhodnocovat bezpečnost aplikací a systémů , včetně zajištění integrity, dostupnosti a důvěrnosti dat.
03
Identifikace a správa zranitelností v používaných systémech, softwarových komponentách a knihovnách musí být kontinuální a dokumentovaná.
04
Používané nástroje a metodiky musí být přiměřené povaze, rozsahu a složitosti provozovaných systémů.
Jak testování probíhá v praxi?
Statická analýza
Definice rozsahu
Určení testovaného kódu, komponent, knihoven a rozsahu analýzy.
Automatizovaná kontrola
Spuštění specializovaného nástroje na zdrojový kód bez nutnosti spuštění aplikace.
Vyhodnocení nálezů
Třídění, validace a odstranění falešně pozitivních zranitelností.
Doporučení a revize
Poskytnutí návrhů na opravy, zpětná vazba pro vývojáře.
Dynamická analýza
Definice rozsahu
Stanovení cílové aplikace a testovacích prostředí.
Simulace útoků
Odesílání vstupů a provádění interakcí v reálném čase běhu aplikace.
Identifikace zranitelností
Detekce slabin jako je XSS, SQLi, přístup k citlivým částem nebo nedostatečné zabezpečení API.
Zpětná vazba a reporting
Analýza zjištění, doporučení k nápravě a dokumentace pro vývoj a management.
Proč spolupracovat s BDO?
BDO poskytuje služby v souladu se specifickými požadavky evropských regulátorů (např. ECB, EBA, ESMA) a standardy jako DORA, NIS2 či ISO/IEC 27001. Naše metodika kombinuje statické a dynamické testování aplikací, znalost regulací a hluboké technické know-how – včetně přístupu, který reflektuje specifická aplikační rizika a sektorové hrozby v evropském finančním prostředí.
01 Nezávislost a důvěryhodnost
Jako nezávislá poradenská firma nemáme vlastní technologie a nabízíme skutečně objektivní hodnocení. Spolupráce s BDO je pro regulátory i klienty jasným signálem kvality a důvěry.
02 Certifikovaný tým s expertní praxí
Naši specialisté vlastní certifikace OSCP, CRTP, eCPPT, BSCP, CEH, CRT, CPSA, CISSP, CCISO a další. Mají zkušenosti s testováním velkých bank, pojišťoven i ICT poskytovatelů.
