Celem takiego audytu kodów źródłowych jest sprawdzenie czy rozwiązanie wykorzystuje dobre praktyki i standardy przyjęte w obrocie profesjonalnym, akceptowane i przyjęte przez środowiska tworzące podobne rozwiązania zarówno w zakresie aplikacji wewnętrznych jak i ogólnie dostępnych serwisów internetowcyh.

Podczas audytu szukamy potencjalnych źródeł problemów min. w poniższych obszarach:

• uwierzytelnianie,
• autoryzacja,
• zarządzanie sesją użytkownika,
• cross-site request forgery,
• sql injection,
• zarządzanie użytkownikami oraz ich hasłami,
• ochrona danych osobowych (np. list subskrybentów),
• bezpieczeństwo panelu administracyjnego,
• poka-yoke (zabezpieczenia przed problemami wynikającymi z pomyłek)

Powyższe obszary i potencjalne problemy w nich występujące, są znane profesjonalistom i są dobrze udokumentowane w fachowych artykułach dot. tworzenia orpgrowamowania i rozwiązań internetowych, a w stopniu ogólnym ich oipis jest dostępny na Wikipedii.

W wyniku audytu przygotowujemy raport który zawiera:

• opis ryzyka związanego z niewłaściwym przygotowaniem rozwiązania w zakresie wymienionych obszarów;
• informacje o wszystkich miejscach, które przeszły audyt z wynikiem negatywnym;
• informacje o wybranych i istotnych miejscach, które przeszły audyt z wynikiem pozytywnym; oraz
• wnioski płynące z oceny.

Proces audytu polega na przeglądzie kodu. Ocena poprawności, oraz stopnia zgodności ze standardami i praktykami jest subiektywna, podparta naszym 10 letnim doświadczeniem w budowie systemów informatycznych w różnych technologiach. W wyniku przeprowadzonego przeglądu kodu oceniamy bezpieczeństwo opeogramowanie czy serwisu internetowego w stopniu ogólnym z zaleceniem do wdrożenia lub do naprawy wad. Wymieniamy ew. zastrzerzenia oraz ich wpływ na bezpieczeńśtwo wdrożonego oprogramowania czy uruchomionego serwisu.