Tag: Audyt bezpieczeństwa Aplikacji

Audyt Bezpieczeństwa aplikacji www, mobilnych, testy penetracyjne, BlackBox, WhiteBox, GreyBox, OWASP, Audyt aplikacji webowych, Audyt środowiska serwerowego, Ataki XSS, CSRF, SQL Injection, Man-in The-Middle

Opublikowane w

Audyt Licencji Systemów (Oprogramowania)

Audyt wykorzystania licencji przez systemy (indirect access) i użytkowników jest jednym z elementów polityki prawnej w obszarze IT. Wykorzystanie liczby posiadanych licencji (naruszenia licencyjne) jest powszechnym zjawiskiem m.in. z powodów braku blokad w systemach dużych dostawców systemów i możliwości ich wykorzystywania w większym zakresie niż posiadana liczba licencji. Jest to często celowe rozwiązania stosowane przez dostawców systemów, podobnie jak częste zmiany zasad i regulaminów wykorzystywania licencji. Wykorzystywanie licencji jednak powoduje zostawienie śladu w systemie lub nawet logi są automatycznie przesyłane do dostawcy, który zgodnie z zapisami umów licencyjnych często może upomnieć się o zaległe wynagrodzenie licencyjne, które może być wtedy dość wysokie.

Naruszenia licencyjne są nagminne i popularne i dlatego dostawcy rozpoczęli domaganie się pieniędzy za tego typu naruszenia. Rozpoczęły się także pierwsze batalie sądowe pomiędzy dostawcami a ich klientami. Przykładem może byś sprawa sądowa o naruszenia licencyjne z 2017 pomiędzy SAP a jednym z jego klientów w Wielkiej Brytanii a dotyczyła tzw. indirect access gdzie dwie aplikacje Saleforce i SAP były ze sobą zintegrowane.

Zespół GoTechnologies wraz partnerskimi kancelariami prawnymi wspiera klientów nie tylko w analizach i negocjacjach umów wdrożeniowych i utrzymaniowych ale także w negocjacjach umów licencyjnych i analizach zgodności architektury systemów i wymiany danych zgodnych z podpisanymi umowami licencyjnymi. Przeprowadzamy także Audyty Licencji np. systemów SAP i Audyty zgodności z RODO.

Zapraszamy do analizy naszych usług prawnych związanych z IT, systemami, oprogramowaniem, umowami z Software House, itd.:

Zapraszamy do kontaktu:

pfederowicz@gotechnologies.pl

Ponad 200 zadowolonych klientów
Opublikowane w

Audyt infrastruktury IT

Infrastruktura informatyczna przedsiębiorstwa może być dość prosta lub bardzo złożona. Niektóre firmy potrzebują tylko sprawnej sieci wifi i stabilnego połączenia z internetem, inne posiadają rozproszone sieci LAN, sieci niskoprądowe np. LoRa, główne i zapasowe Data Center, itd.

Audyt infrastruktury informatycznej IT może składać się z:

Jeśli potrzebujesz wsparcia technologicznego dla swojego biznesu zapraszamy do kontaktu.

Zapraszamy do kontaktu:

pfederowicz@gotechnologies.pl

Ponad 200 zadowolonych klientów
Opublikowane w

Progressive Web Application (PWA)

Progressive Web Application (PWA) jest nowym standardem łączącym zalety stron internetowych i aplikacji mobilnych. Jest następcą standardu RWD (Responsive Web Design) czyli responsywnych stron internetowych dostosowujących się do różnych urządzeń szczególnie mobilnych takich jak smartphone czy tablety.

Dzięki PWA strony internetowe mogą zachowywać się tak jakby były aplikacją mobilną. Są szybkie, dostosowane do ekranu urządzenia mobilnego, z ikonką aplikacji na pulpicie czy z trybem pełnoekranowym bez menu przeglądarki. Frontend PWA może także cashować odwiedzane strony i działać offline w przypadku braku internetu lub jego zaniku. Strony PWA cechują się także lepszym interfejsem (UIUser Interface) bardziej dostosowanym do użytkownika (UXUser Experience).

Jeśli wahasz się czy wybrać PWA, RWD przy Twoim kolejnym redesignie strony www czy sklepu internetowego zapraszamy do kontaktu. Pomagamy wybrać technologię, wspieramy przy wyborze najlepszego Software House-u, wspieramy w project managemencie kluczowych projektów.

Zobacz także naszą ofertę doradztwa technologicznego:


Zapraszamy do kontaktu:

pfederowicz@gotechnologies.pl

Ponad 200 zadowolonych klientów
Opublikowane w

Testy penetracyjne

Testy penetracyjne (Pen testy) są metodą kontrolowanego ataku na system lub aplikację, którego celem jest ocena aktualnego stanu bezpieczeństwa. Testy penetracyjne wykonujemy bez jakiejkolwiek znajomości aplikacji czy środowiska systemowego (BlackBox), z całkowitą znajomości kodu czy dokumentacji (WhiteBox) lub z częściową znajomością środowiska (GreyBox). Wybór metody jest także związany z czasem realizacji i kosztami. Najdłużej trwają i są najbardziej kosztowne testy penetracyjne BlackBox.

Do testów penetracyjnych można użyć metodyki np. OWASP (Open Web Application Security Project), która jest zbiorem praktyk bezpieczeństwa zarówno dla testów aplikacji webowych, aplikacji mobilnych czy Internetu Rzeczy (IoT) czy NIST.

Przykładowy zakres OWASP Top10 dla aplikacji webowych:

  • Injection
  • Broken Authentication
  • Sensitive Data Exposure
  • XML External Entities (XXE)
  • Broken Access Control
  • Security Misconfiguration
  • Cross-Site Scripting XSS
  • Insecure Deserialization
  • Using Components with Known Vulnerabilities
  • Insufficient Logging & Monitoring

GoTechnologies wykonuje zarówno testy bezpieczeństwa aplikacji www, aplikacji mobilnych jak i bezpieczeństwa serwerów webowych. Przykładowe testy penetracyjne:

  • Testy penetracyjne aplikacji mobilnej (Mobile)
  • Testy penetracyjne aplikacji webowej (strona internetowa, sklep internetowy, platforma SaaS)
  • Testy penetracyjne API / Webservices
  • Testy penetracyjne infrastruktury i sieci LAN
  • Testy penetracyjne aplikacji natywnych (Desktop, klient-serwer)
  • Testy penetracyjne sieci Wi-Fi
  • Testy dostępności DDOS (Distributed Denial of Service)

Certyfikaty posiadane przez zespół testowy: OSCP, OSWP, eWPT, CISPP, CISA.

Zobacz kompleksową ofertę doradczą na:

Zapraszamy do kontaktu:

pfederowicz@gotechnologies.pl

Ponad 200 zadowolonych klientów
Opublikowane w

Audyt bezpieczeństwa aplikacji webowych metodą OWASP

Metoda testów bezpieczeństwa OWASP (Open Web Application Security Project) jest powszechnie używana w zakresie testowania aplikacji i systemów zarówno internetowych, mobilnych m.in. jako testy penetracyjne.

Przykładowe biblioteki OWASP Top10, gdzie znajdują się najpowszechniej występujące błędy w różnych typach aplikacji:

  • OWASP Top10 dla Aplikacji Webowych (internetowych)
  • OWASP Top10 dla Internetu Rzeczy (IoT)
  • OWASP Top10 dla Aplikacji Mobilnych
  • OWASP Top10 dla Aplikacji Serverless

Przykładowy zakres OWASP Top Ten dla aplikacji webowych:

  • Injection
  • Broken Authentication
  • Sensitive Data Exposure
  • XML External Entities (XXE)
  • Broken Access Control
  • Security Misconfiguration
  • Cross-Site Scripting XSS
  • Insecure Deserialization
  • Using Components with Known Vulnerabilities
  • Insufficient Logging & Monitoring

Jeśli potrzebujesz audytu swojego systemu, aplikacji czy sieci zapraszamy do kontaktu. W ofercie mamy także audyt kodu źródłowego, audyt wydajności czy audyt RODO.

Zobacz kompleksową ofertę doradczą na:

Zapraszamy do kontaktu:

pfederowicz@gotechnologies.pl

Ponad 200 zadowolonych klientów
Opublikowane w

Przemysł 4.0

Przemysł 4.0 (Industry 4.0) to obecnie bardzo popularny termin określające tzw „czwartą rewolucję” przemysłową. Rewolucja ta integruje wszystkie dostępne systemy czy urządzenia, które wymieniają się danymi w czasie rzeczywistym. Taka integracja pozwala na optymalne zarządzanie produkcją, dostawami, komunikacją z klientami czy dostawcami. Możliwe staje się produkowanie małych partii produktów nie tracąc czasu i pieniędzy oraz umożliwia klientom szeroką customizację swoich produktów.

Poniżej przykładowe technologie, które są często wykorzystywane w przedsiębiorstwach określanych 4.0 (przemysł, automotive, stocznie, porty, transport, spedycja, magazyny, retail, itd.):

  • Internet Rzeczy IoT Internet of Things (IIoT – Industrial IoT) – czujniki, sensory przemysłowe monitorujące położenie obiektów, ich działanie, itd.
  • Big Data – wykorzystanie danych z czujników IoT w czasie rzeczywistym do sterowania procesami lub obiektami, które są ich częścią.
  • Systemy i integracje – systemy ERP, WMS, APS, TMS, MES, MRP, YMS, SCADA, itd. zintegrowane w jeden system pozwalający na wymianę danych w czasie rzeczywistym.
  • Sztuczna inteligencja (AI – Artificial Inteligence) i uczenie maszynowe (Machine Learning i Deep Learning) – pozwalająca na usprawnienie procesów poprzez ich analizę i uczenie.
  • Bezpieczeństwo i ochrona danych – podstawowe ryzyko Przemysłu 4.0 czyli zapewnienie bezpieczeństwa procesów, intrastruktury i danych.
  • Przetwarzanie danych w czasie rzeczywistym – podstawa Przemysłu 4.0 czyli wymiana danych i zarządzanie procesem w czasie rzeczywistym.
  • Cloud – wykorzystanie systemów chmurowych czy to do przechowywanie dużych ilości danych, czy do ich przetwarzania.
  • Digital Twin – tworzenie cyfrowych środowisk odpowiadających fizycznym procesom.
  • Traceability – śledzenie obiektów, partii, materiałów, półproduktów.
  • Connectivity – sieci internetowe, wifi, niskoprądowe np. LoRa, SigFox, NB-IoT, itd.
  • Robotyzacja – automatyzacja produkcji poprzez zastosowanie w pełni zrobotyzowanych linii produkcyjnych.
  • Pojazdy autonomiczne AGV – pojazdy autonomiczne transportujące produkty w magazynach i produkcji.
  • Roboty współpracujące (Coboty) – roboty współpracujące z ludźmi.
  • Druk 3D – wykorzystanie drukarek 3D w produkcji np. w personalizacji produktów.
  • RFID – wykorzystanie identyfikacji radiowej w procesach produkcyjnych, magazynowych, logistycznych czy Retail.
  • Predictive Maintanance – stały nadzór nad urządzeniami, przewidywanie awarii i planowanie przeglądów.

Zobacz także:

Zapraszamy do kontaktu:

info@gotechnologies.pl

Ponad 200 zadowolonych klientów
Opublikowane w

Systemy SCADA

System SCADA (Supervisory Control And Data Acquisition) to system informatyczny nadzorujący przebieg procesu np. produkcyjnego. Jego podstawowe zadania to:

  • Wymiana danych z urządzeń pomiarowych, sterowników PLC (Programmable Logic Controller – programowalny sterownik logiczny), modułów I/O czy urządzeń IoT (IIoT).
  • Wizualizacja funkcjonowania procesu
  • Sterowanie procesem
  • Alarmowanie o awariach, potencjalnych uszkodzeniach w maszynach, poziomach przekroczenia danych wartości, itd.
  • Archiwizowanie danych

Systemy SCADA pobierają dane z urządzeń pomiarowych oraz pozwalają na wizualizację danych.

Przykład systemu SCADA sterującego wieloma pompami. Fot. RealPars

Alternatywą dla systemów SCADA są panele operatorskie HMI (Human Machine Interface), którymi można sterować maszyną lub częścią procesu. Panele HMI są często tylko fragmentem dużego systemu, który jest nadzorowany przez system SCADA.

Obecnie jedne z ważniejszych wyzwań dla firm wykorzystujących systemy typu SCADA to zapewnienie bezpieczeństwa tym systemom. Uzyskanie dostępu do systemu, czy to w wewnątrz sieci czy przez urządzenia np. IoT i sieci np. wifi lub sieci niskoprądowe (np. LoRa, SigFox) powoduje, że systemy te trzeba dodatkowo chronić.

Jeśli potrzebujesz doradztwa SCADA lub Audytu SCADA zapraszamy do kontaktu.

Zapraszamy do kontaktu:

info@gotechnologies.pl

Ponad 150-ciu zadowolonych klientów

Opublikowane w

Doradztwo Data Center – Kolokacja, zdalny Backup, Wydajność sezonowa serwisów internetowych, ERP w cloudzie, etc.

GoTechnologies wspiera firmy z branż eCommerce, Retail oraz firmy logistyczne i przemysłowe w wykorzystaniu zewnętrznych usług kolokacyjnych, Data Center i chmurowych (cloud).

Przykładowe doradztwo Cloud ( AWS, Azure czy Google GCP) i Data Center:

  • Konfiguracje usług chmurowych w przygotowaniu na zwiększone piki sprzedażowe (np. black friday, cyber monday)
  • Konfiguracje usług chmurowych pod kątem optymalizacji kosztów
  • Analiza możliwości migracji systemu klasy ERP, CRM, MES, WMS, APS, eCommerce (np. Magento) do usług chmurowych
  • Benchmarking kosztów Data Center, Cloud czy inwestycji we własne DC
  • Projekt przechowywania backupów w zewnętrznym Data Center
  • Wybór dostawców kolokacji
  • Analiza umów z dostawcami Data Center
  • Wykorzystanie aplikacji i usług biznesowych np. Office 365, systemów HCM czy CRM
  • Wykorzystanie chmur obliczeniowych
  • Audyt przechowywania danych w Cloudzie pod kątem RODO

Zapraszamy do kontaktu:

pfederowicz@gotechnologies.pl

Ponad 150-ciu zadowolonych klientów
Opublikowane w

Audyt Magento

Audyt Magento 1x i 2x jest audytem technologicznym sklepu internetowego analizującym stan platformy, ilość i jakość zmian, oceniający dług technologiczny, bezpieczeństwo oraz wydajność. GoTechnologies specjalizuje w technologii m.in. dla branży eCommerce.

Jesteśmy m.in. współautorem książki Technologia w eCommerce.

Przykładowy zakres Audytu Magento (Audyt sklepu internetowego):

  • Analiza Magento Core
  • Analiza code review (jakość kodu) pod kątem zgodności ze standardami wytwórczymi Magento
  • Audyt Architektury Magento
  • Ocena Maintability (łatwość konserwacji)
  • Ocena Violations (naruszenia)
  • Ocena bezpieczeństwa platformy Magento m.in. na ataki DDoS (Distributed Denial of Service) i wycieki danych
  • Ocena migracji danych z Magento 1.x do Magento 2.x
  • Ocena zastosowania dobrych praktyk dla wdrożeń Magento
  • Audyt API (Application Programming Interface)
  • Audyt PWA (Progressive Web Application)
  • Ocena hostingu Magento
  • Ocena dostawcy Magento
  • Ocena Długu technologicznego

Podsumowaniem jest raport z oceną stanu platformy Magento. Przykładowy raport z Audytu Magento zawiera:

  • Ocena Backend – Silnik Magento, code review, lista błędów – rekomendacje zmian
  • Ocena Frontend – PWA, RWD, itd. ocena prędkości ładowania się stron, ocena kodu i lista błędów – rekomendacje zmian.

Zobacz więcej oferty doradztwa technologicznego dla eCommerce i Omnichannel:

Zapraszamy do kontaktu:

pfederowicz@gotechnologies.pl

Ponad 200 zadowolonych klientów

Opublikowane w

Audyt Code Review (Audyt Inspekcji Kodu)

Code Review to przegląd (inspekcja) kodu napisanego przez programistę przez innego programistę, audytora, senor developera, architekta czy innego członka zespołu, który ma taką przypisaną rolę i kompetencje do przeprowadzenia audytu. Code Review przeprowadzamy przed dodaniem kodu do repozytorium, przed testowaniem.

Czemu ma służyć Code Review?

Code Review pozwala na zwiększenie jakości pisanego kodu poprzez ciągłe jego sprawdzania, udoskonalanie.

Jakie są wady Code Review?

Największą to czas powięcony na sprawdzanie kodu zarówno czas programistów jak i czas oddania kodu, aplikacji czy systemu na produkcję. Dlatego często code review jest wykonywany sporadycznie lub nawet bardzo rzadko.

Jakie są korzyści stosowania stałego Code Review?

  • Łatwość czytania kodu przez innych programistów – czyli łatwiejsze zmiany, łatwiejsze wprowadzenie nowych osób do zespołu, itd.
  • Świetna nauka i wymiana doświadczeń pomiędzy członkami zespołu o różnym doświadczeniu i stażu pracy nad systemem.
  • Wyłapanie błędów lub znajdywanie prostszych metod kodowania.
  • Dojrzałość systemów wymaga najlepszych standardów i praktyk, a zatem Code Review też jest potrzebny.

Audyt Code Review

GoTechnologies wykonuje Audyty oraz Doradztwo Code Review pod kątem najlepszych standardów przeglądu kodu.

Zobacz naszą ofertę na Audyt Aplikacji, Audyt kodu źródłowego, Audyt architektury systemów

Zapraszamy do kontaktu:

pfederowicz@gotechnologies.pl

Ponad 150-ciu zadowolonych klientów