Tag: API OWASP

Audyt bezpieczeństwa API OWASP. Doradztwo API. Bezpieczeństwo API. Dokumentacja API. Łatwość implementacji API. Interfejs API. Ekonomia API (API Economy), Monetyzacja danych, Nowe strumienie przychodów, API Banki, API Public, API eCommerce, Big Data, Mobile, Open API.

Opublikowane w

WAF – Web Application Firewall – zabezpieczenie aplikacji webowych

Nasze sklepy internetowe, strony firmowe, aplikacje typu SaaS (Software as a Service), aplikacje mobilne czy inne są obecnie jeszcze bardziej narażone na ataki takie jak przejęcia dostępów do stron, dostęp do danych umieszczonych w bazach danych czy zablokowaniu możliwości działania danej usługi. Ochronę przed podatnościami i atakami naszych serwisów internetowych mogą zapewnić firewalle typu WAF. Chronią one systemy internetowe szukając podatności w już zidentyfikowanych lukach bezpieczeństwa wykorzystując np. tzw. blackisty i whitelisty monitorując ruch z do aplikacji. często działają zgodnie z regułami dobrych praktyk jak OWASP (Open Web Application Security Project).

Przykładowe ataki, które może wykryć zapora WAF:

  • SQL injection
  • Ataki spamerskie
  • Ataki XSS
  • Ataki na hasła (brut force)
  • Ataki na pliki konfiuguracyjne
  • Wsparcie w atakach DoS i DDoS
  • itd.

Przykładami takich zapór sieciowych chroniących nasze serwisy www są np. Cloudflare, NAXSI (moduł do serwera Nginx), Modsecurity (Modsec, Open Source projekt), WAF on Azure, itd.

Jeśli potrzebujesz wsparcia w obszarze aplikacji webowych, eCommerce i bezpieczeństwa zapraszamy do kontaktu:

Zapraszamy do kontaktu:

pfederowicz@gotechnologies.pl

Ponad 300 zadowolonych klientów
Opublikowane w

Startupy a kryzysy technologiczne

Startupy to technologia, a technologia wymaga posiadania odpowiednich kompetencji i ciągłego ich rozwijania. Technologia musi być wydajna oraz spełniać oczekiwania klienta. Produkt startupu musi działać, ale tak jak tego sobie życzy klient. Startupy tworzą zarówno aplikacje mobilne, sklepy internetowe, systemy SaaS (Software as a Service), platformy Marketplace, urządzenia IoT czy inne urządzenia hardwarowe. Wszystkie te produkty wymagają wysokiej dojrzałości technologicznej. Wiedza członków startupu czy założycieli (founderów) często koncentruje się na sprzedaży, klientach czy marketingu lub na aspekcie technologicznym. Idealnym połączaniem jest, kiedy zespół założycielski posiadający wszystkie te kompetencje. Oczywiście faza początkowa rozwoju startupu charakteryzuje się posiadaniem małego budżetu, małej ilości czasu na dopracowanie produktu technologicznego oraz braki zasobowe i kompetencyjne. Z tego też powodu kryzysy technologiczne przychodzą szybciej niż nam się wydaje.

Jakie kryzysy technologiczne przechodzą startupy?

Poniżej lista zaobserwowanych kryzysów technologicznych w startupach fazy seed i eary grow:

  • Wydajność aplikacji, sklepu czy platformy SaaS – brak myślenia co będzie za rok, jak zwiększy się liczba danych czy klientów. Wymaga często zmiany infrastruktury lub co trudniejsze architektury systemów – zobacz doradztwo w obszarze wydajności, doradztwo w zakresie cloud, doradztwo w zakresie architektury
  • Hardware – częsty brak budżetu na wersję nr 2 prototypu związaną ze zmianami technologicznymi, potrzebami klientów czy trendami
  • Brak bezpieczeństwa danych i systemów – zobacz doradztwo w obszarze bezpieczeństwa
  • Odejście kluczowej osoby takiej jak CTO czy senior developer
  • Brak dokumentacji systemu utrudniający wdrożenie nowych członków zespołu
  • Brak skutecznego zarządzania projektami czy zmianami np. pseudo agile podejście (Scrum) – zobacz doradztwo w obszarze zarządzania projektami
  • Duży i często niespodziewany przyrost danych Big Data powodujący problemy z bazami danych i aplikacjami – zobacz doradztwo Big Data
  • Użyteczność interfejsu (UX – User Experience, UI – User Interface) – zobacz audyty UX, UI, eCommerce
  • Brak regularnych upgradów wykorzystywanych frameworków powodujących dług technologiczny trudny do naprawy – zobacz doradztwo dług technologiczny
  • Brak przyjętych zasad kodowania, architektury czy testowania
  • Brak API
  • itd.

Zobacz więcej o doradztwie technologicznym dla Startupów

Jeśli potrzebujesz wsparcia technologicznego i procesowego w Twoim startupie, zapraszamy do kontaktu.

Zapraszamy do kontaktu:

pfederowicz@gotechnologies.pl

Ponad 200 zadowolonych klientów
Opublikowane w

Mikroserwisy w eCommerce – Architektura eCommerce

Mikroserwisy są podstawą architektury rozproszonej systemów zdecydowanie różniącej się od architektury monolitycznej oprogramowania. Mikroserwisy są pojedynczymi komponetntami, aplikacjami czy modułami realizującymi daną funkcjonalność lub świadczący usługi. Mikroserwisy wymieniają się danymi lub wchodzą w interakcję z innymi modułami architektury poprzez np. API (Application Programming Interface).

Mikroserwisy – korzyści

Mikroserwisy posiadają wiele korzyści np.:

  • Łatwiejsze zarządzanie architekturą oprogramowania, modułami, usługami
  • Łatwiejszy development w postaci rozwijania danych komponentów przez osobne zespoły
  • Minimalizacja błędów w innych modułach
  • Skalowanie na poziomie danej usługi nie systemu
  • Zwiększenie ciągłości biznesowej w przypadku awarii, internetu, Data Center, itd.
  • Zwiększenie wydajności systemu
  • Zmniejszenie (potencjalne) kosztów rozwojowych systemu

Mikroserwisy – wady

  • Zwiększenie stopnia trudności oprogramowania i projektu z uwagi na złożoność architektury rozproszonej (komunikacja pomiędzy usługami, itd.)
  • Zwiększenie kosztów wytworzenie i i utrzymania systemu
  • Zwiększenie skomplikowania testów usług dostawrczanych przez mikroserwisy
  • Trudniejsze wdrażania niż w architekturze monolitycznej

Mikroserwisy w eCommerce?

Mikroserwisy świetnie wpisują się w architekturę systemów eCommerce szczególnie tam gdzie jest dużo systemów takich jak sklepy internetowe B2B i B2C, pasaże handlowe, systemy wymiany danych, systemy kurierskie, systemy PIM (Product Information Management), systemy OMS (Order Management System), systemy CRM (Customer Relationship Management), systemy ERP (Enterprise Resources Management), systemy WMS (Warehouse Management System), systemy Marketplance, systemy do obsługi BOK (Biuro Obsługi Klienta), systemy kioskowe lub POS (Point of Sales) czt programy lojalnościowe. Mikroserwisy świetnie wkomponowują się w podejście Headless w CMS (Content Management System) oddzialającego backend od frontendu czy wykorzystaniu PWA (Progressive Web Application).

Jeśli potrzebujesz wsparcia w obszarze architektury eCommerce czy optymalizacji procesów eCommerce zapraszamy do kontaktu.

Zobacz naszą ofertę doradztwa:

Zapraszamy do kontaktu:

pfederowicz@gotechnologies.pl

Ponad 200 zadowolonych klientów
Opublikowane w

Bezpieczeństwo systemów SAP

Systemy ERP firmy SAP podobnie jak inne systemy ERP powinny być odpowiednio zabezpieczone zarówno w obszarze zapewnienia ciągłości biznesowej (Business Continuity Plan) jak i w obszarze ochrony danych. GoTechnologies wspiera organizacje zarówno przy analizie procesów biznesowych, tworzeniu wymagań dla systemów, wyborze dostawców, doradztwie w zakresie architektury wymiany danych pomiędzy systemami, przy analizach przed wdrożeniowych a także na etapie wdrożeniowym jak i późniejszych audytach systemów SAP.

Audyt bezpieczeństwa systemów SAP może zawierać następujące elementy:

Potencjalne moduły przewidziane do audytu SAP: SD, FI, HR, PY

Zobacz naszą ofertę doradztwa technologicznego:

Zapraszamy do kontaktu:

pfederowicz@gotechnologies.pl

Ponad 200 zadowolonych klientów
Opublikowane w

Audyt Frontend

Frontend wraz z Backendem tworzą aplikację internetową, sklep internetowy, stronę www czy aplikację typu SaaS (Software as a Service).

Dlaczego do frontendu trzeba przyłożyć więcej wagi niż do innych części naszych systemów?

  • Frontend jest naszą wizytówką
  • Frontend zarabia dla nas pieniądze

Dlatego frontend musi mieć dopracowany UX (User interface), UI (User Interface), musi być szybki, wydajny, działający na wielu różnych ekranach (aplikacja mobilna), użyteczny dla użytkownika końcowego. Frontend jest często łączony z Backendem poprzez API (Application Programming Interface), który umożliwia podłączenie backendu do wielu frontendów np. desktop, mobile, itd.

Oferta Audytu Frontend:

Zobacz także:

Zapraszamy do kontaktu:

pfederowicz@gotechnologies.pl

Ponad 200 zadowolonych klientów
Opublikowane w

M-Commerce – doradztwo technologiczne

Mobile commerce (M-Commerce lub mCommerce) jest częścią eCommerce czyli handlu elektronicznego (cyfrowego, internetowego), gdzie dostęp do zasobów jest realizowany przez smartphony, tablety i inne urządzenia kieszonkowe.

Dostęp mobilny dzięki coraz lepszemu dostępowi do sieci internet, szybszym telefonom oraz lepszym aplikacją pozwala na zwiększanie usług i produktów oferowanych klientom mobilnym. Obecnie nikt nie wyobraża sobie życia bez map na telefonie, gdzie możemy pokazywać biznesy w pobliżu i sprzedawać produkty. Użytkownicy aktywnie korzystają z usług finansowych (banki, porównywarki) czy portali sprzedażowych (np. Allegro czy OLX). Rośnie też większa aktywność w tym obszarze przez sklepy internetowe m.in. dzięki technologią RWD (Responsive Web Design), mobile i PWA (Progressive Web Application). Obecnie każdy sklep internetowy musi mieć wersję mobilną sklepu internetowego umożliwiającego pełną ścieżkę zakupową.

Oferta technologiczna w obszarze M-Commerce:

Zobacz także naszą ofertę doradztwa technologicznego dla eCommerce:

Zapraszamy do kontaktu:

pfederowicz@gotechnologies.pl

Ponad 200 zadowolonych klientów
Opublikowane w

Audyt i doradztwo CMS (Content Management System)

Systemy CMS (Content Management System) służą do zarządzania treścią zarówno w sklepach internetowych, stronach internetowych, stronach mobilnych jak i w platformach SaaS (Software as a Service). Są często nazywane Backend i oddzielone często od Frontendu poprzez np. API (Application Programming Interface).

Systemy CMS spotykane w organizacjach często charakteryzują się dużym długiem technologicznym, który powoduje wiele negatywnych skutków dla pracy zespołu programistów i firmy. Dług technologiczny powoduje:

  • Podatność systemów na ataki zewnętrzne i wewnętrzne spowodowane brakiem aktualizacji bezpieczeństwa i narażenie firmy na wyciek danych (patrz Audyt RODO) i utratę zaufania klientów i reputację firmy. Ataki te np. DDoS (Distributed Denial of Service – patrz Testy Penetracyjne) mogą także spowodować zatrzymanie się stron www czy sklepu internetowego i narazić zyski firmy (Business Continuity).
  • Zmiany funkcjonalne w startych systemach CMS powodują zarówno opór zespołów programistycznych, którzy lubią pracować w nowoczesnych technologiach jak i zwiększone koszty zmian z powodu braku dokumentacji, znajomości kodu przez nowych programistów, brak kompetencji starych technologii itd.

Obecnie spotykane systemy CMS to przeważnie otwarte platformy Open Source lub systemy dedykowane. Popularne platformy CMS to:

  • WordPress ze sklepem internetowym WooCommerce
  • Wix
  • Squarespace
  • Joomla
  • Shopify
  • Drupal
  • Prestashop
  • Blogger
  • Magento
  • Bitrix
  • Typo3
  • Textpattern
  • itd.

Audyt platformy CMS pozwala na zmniejszenie długu technologicznego, określenie i ocena ryzyka używania takiej platformy, wskazuje rekomendacje zmian lub migracji na inną platformę CMS, itd.

Przykładowy zakres audytu CMS:

  • Analiza Core CMS
  • Analiza code review pod kątem zgodności ze standardami wytwórczymi CMS
  • Audyt Architektury systemu CMS
  • Ocena Maintability (łatwość konserwacji)
  • Ocena Violations (naruszenia)
  • Ocena bezpieczeństwa platformy CMS
  • Ocena zastosowania dobrych praktyk dla wdrożeń CMS
  • Audyt API (Application Programming Interface)
  • Audyt Frontend PWA, RWD, mobile, itd.
  • Ocena hostingu dla platformy CMS
  • Ocena dostawcy platformy CMS

Zobacz także:

Zapraszamy do kontaktu:

pfederowicz@gotechnologies.pl

Ponad 200 zadowolonych klientów
Opublikowane w

Bezpieczeństwo zakładu produkcyjnego

GoTechnologies wraz z partnerami z zakresu cyberbezpieczeństwa wspiera przedsiębiorstwa produkcyjne i logistyczne w zakresie kompleksowego wsparcia w zakresie bezpieczeństwa. Bezpieczeństwo podlegają zarówno infrastruktura krytyczna, systemy operacyjne, dane jak i serwisy internetowe.

Zakres usług doradztwa dla przemysłu w zakresie bezpieczeństwa

  1. Audyt i doradztwo z zakresie polityki bezpieczeństwa – ochrona sieci, systemów, danych, procedur bezpieczeństwa np. backupów, włamań, zapewnienie ochrony
  2. Audyt backupów danych i systemów kluczowych np. ERP, APS, MES, WMS, SCM, itd. – analiza procedur i konfiguracji odtworzenia backupów po awarii (Disaster Recovery – odtwarzanie awaryjne).
  3. Audyt sieci LAN, WiFi, LoRa, SigFox, NB-IoT, 5G – doradztwo i rekomendacje.
  4. Audyt ciągłości biznesowej (Business Continuity) – audyt sieci, Data Center, systemów redundantnych, dostawców.
  5. Audyt bezpieczeństwa dla pojazdów AGV
  6. Audyt bezpieczeństwa OWASP dla aplikacji i systemów IT/OT
  7. Audyt bezpieczeństwa systemów RFID
  8. Audyt architektury systemów IT/OT – szyny danych, hurtownie danych, BI (Business Inteligence), systemy klas ERP, CRM, WMS, APS, MES, MRP, SCM, Andon, SCADA, Kanban, itd.
  9. Audyt bezpieczeństwa systemów firmy SAP
  10. Audyt prawny licencji systemów np. firmy SAP
  11. Audyt jakości danych Big Data – analiza spójności, integralności, backupów baz danych w systemach i hurtowniach danych
  12. Audyt zgodności RODO
  13. Audyt środowisk i konfiguracji systemów domenowych np. Active Directory firmy Microsoft
  14. Audyt bezpieczeństwa chmur publicznych i prywatnych Google GCP, Microsoft Azure i Amazon AWS
  15. Audyt bezpieczeństwa API – audyt bezpieczeństwa API metodami OWASP, testy penetracyjne API
  16. Audyt bezpieczeństwa IoT – audyt bezpieczeństwa danych, ich przesyłania i zbierania
  17. Audyt bezpieczeństwa komputerów i urządzeń mobilnych
  18. Testy penetracyjne systemów i aplikacji – testy penetracyjne systemów webowych
  19. Audyt długu technologicznego aplikacji – ocena długu technologicznego, ryzyk z tym związanych oraz rekomendacje minimalizacji długu
  20. Audyt aplikacji mobilnej – audyt bezpieczeństwa, jakości kodu i wydajności aplikacji mobilnych
  21. Audyt wydajności systemów – testy obciążeniowe dla systemów wewnętrznych i webowych

Jeśli potrzebujesz wsparcia w zakresie audytu bezpieczeństwa Twojego zakładu produkcyjnego zapraszamy do kontaktu.

Zobacz naszą ofertę doradztwa technologicznego dla Przemysłu, Automotive

Zapraszamy do kontaktu:

pfederowicz@gotechnologies.pl

Ponad 200 zadowolonych klientów
Opublikowane w

Audyt bezpieczeństwa API

Obecnie większość systemów posiada API (Application Programming Interface) lub integruje się z innymi systemami w inny sposób. API w przypadku systemów firm typu Omnichannel, eCommerce, Retail, banków, aplikacji mobilnych czy platform SaaS (Software as a Service) staje się elementem krytycznymi (bezpieczeństwo i wydajność) i naraża firmę na straty finansowe i utratę reputacji.

Projekt OWASP (Open Web Application Security Project) w 2019 r. zdefiniował następujące najważniejsze ryzyka i ataki związane z API:

  • Broken Object Level Authorization
  • Broken Authentication
  • Excessive Data Exposure
  • Lack of Resources & Rate Limiting
  • Broken Function Level Authorization
  • Mass Assignment
  • Security Misconfiguration
  • Injection
  • Improper Assets Management
  • Insufficient Logging & Monitoring

Ataki na API pozwalają na zdobycie nieautoryzowanego dostępu do danych i systemów łączenie z przejęciem całego dostępu do nich co pozwala na manipulację danymi czy wykasowanie danych. Ataki na API często wykorzystuje się w celu uzyskania dostępu do danych prywatnych celem kradzieży tożsamości (phishing) potrzebnej do zakładania fałszywych kont bankowych i innych usług. Inne przestępstwa to ujawnienie danych wrażliwych lub osób korzystających z danych usług cyfrowych. API staje się także często ofiarą ataków typów DoS (Denial of Services) lub DDoS (Distributed Denial of Services), które powodują braki odpowiedzi API dla innych usług czy użytkowników poprzez ich przeciążenie.

Zobacz naszą ofertę doradczą dla aplikacji, systemów, platform SaaS, sklepów internetowych w zakresie jakości kodu, bezpieczeństwa i wydajności:

Zapraszamy do kontaktu:

pfederowicz@gotechnologies.pl

Ponad 200 zadowolonych klientów
Opublikowane w

Systemy Embedded

Systemy wbudowane (systemy Embedded) możemy spotkać praktycznie wszędzie od przemysłu, poprzez sklepy, transport po nasze inteligentne domy (Smart Home). Są to systemy dedykowane pod obsługę danego urządzenia którym może być sensor IoT, urządzenia w bankomacie, hardware sterujący lodówką, sterowniki PLC, itd.

Systemy Embedded są przeznaczone do wykonywania konkretnego zadania. Muszą charakteryzować się bezpieczeństwem, wydajnością, stabilnością czy niezawodnością. Od stopnia przyjętej niezawodności decyduje architektura rozwiązania czyli wykorzystanie systemu operacyjnego, podział zadań na poszczególne urządzenia, ich redundancja, itd.

Jeśli potrzebujesz wsparcia w systemach Embedded, IoT, sieciach LoRa, SigFox, 5G zapraszamy do kontaktu. Nasi inżynierowie doradzą, wesprą w działaniach.

Zobacz także:

Zapraszamy do kontaktu:

pfederowicz@gotechnologies.pl

Ponad 200 zadowolonych klientów