安全审计的费用是多少?

信息安全 应用安全 渗透测试 商业风险 预算
2021-08-31 05:55:26

对于 PHP CMS,我应该为白盒和黑盒的安全审计预算多少?代码库大约有 85,000 LOC(“代码行”),我可能会使用一家北美公司进行测试。我真的不知道审计是否会花费 10-2 万美元或超过 10 万美元。我不是要一个确切的报价,只是一个一般的猜测,以便我知道会发生什么。如果您可以在黑盒测试和白盒测试之间分开您的估计,那也会有所帮助。

编辑

我会尽量列出尽可能多的因素。

  • 应用程序类型:类似于 Wordpress、Joomla 或 Drupal 的 Web 内容管理系统。
  • 测试类型:广泛的渗透测试和常见漏洞扫描。由于源代码将公开提供,因此对其他漏洞进行代码审查。
  • LOC:大约 85,000。
  • 语言:PHP、JavaScript。
  • 报告的受众:开发人员。
  • 测试地点:可以远程进行。
  • 用户角色是可变的。它们被分配给组,每个组可以被赋予任意数量的权限。可以创建任意数量的组。

我不知道还有哪些其他信息可能是相关的。真的,我不是在寻找一个非常具体的数字,只是一个大概的数字,比如“根据你提供的信息,你可能会期望在 $X 和 $X 之间进行安全审计预算。” 即使只是一个基准价格也会非常有帮助,因为我真的不知道会发生什么。

3个回答

这是我的粗略猜测:

代码审查:

1000 LOC = 1 hour
85000 LOC = 85 hours

每小时费率:100 美元/小时

85 hours * 100$/hr = 8500$

如果您的软件使用 ORM 和文档完善的 MVC 框架,它可以显着加快代码审查速度

好的,有很多因素会影响安全审计的成本和范围,这就是为什么如果没有关于范围的更多细节,很难给你一个大致的了解。例如:

  • 您需要哪种类型的安全审计?
  • 你认为黑匣子是什么?以及您为什么想要它 - 它会大大增加成本。
  • 你包括代码审查吗?
  • 应用程序是用什么语言编写的?
  • 报告的目标受众是什么?
  • 测试的目的是什么?
    合规、审核、认证,
    其他?
  • 是现场测试、远程测试、现场
    测试还是测试?
  • 应用程序有什么作用?
  • 存在多少个用户角色?
  • 等等。

请参阅我们的分类及其扩展事实上,我们的其他一些博客 文章在这里非常相关。与您当地的供应商交谈并获得报价。

这实际上取决于决定最终价格的许多因素。

源代码分析的成本可以通过以千字节为单位计算行数或代码量来计算。据我所知,更流行的是第二种方法——按代码大小计算。虽然每行定价可能更准确,但这种方法并不能消除意料之外的事情,比如写得很糟糕的代码,这肯定需要更多的时间来评估。其他人还计算代码中发现的漏洞。

有人可能会说定价取决于服务质量。我不同意并说情况并非总是如此。新服务需要证明自己,通常从较低的价格和中等质量的审核开始——不仅需要实践经验,还需要个人管理、用户支持等。品牌服务可以承受更高的价格。但也有可能当品牌服务开始出现问题,或者新手能够比知名品牌进行更好的审计。因此,建议您了解一些有关服务的背景,阅读推荐和评论。

此外,价格可能取决于服务提供商所在的国家/地区。我们都有不同的发展经济环境。

现在从源代码审计的角度来看。对于 Web 应用程序,通常将白盒和黑盒测试结合在一起。在这种情况下,确实没有必要通过默默无闻来确保安全。但是,其他人可能更喜欢先进行黑盒测试,然后再提供对源代码的访问权限。如果给出源代码,那么肯定会在现场环境中进行测试。如果您只能访问网站,客户可以提供对服务器的访问权限。

总结所有这些,很难定义一些固定价格。客户通常会讨论所有细节以及他们未来的协作工作。过程可能如下所示:您提供代码,他们会在一段时间后回复报告。您可以再次提供代码,这些步骤可能需要多次循环,直到代码中的错误消失。这就是为什么您经常看到联系表格而不是价格表的原因。

其它你可能感兴趣的问题
上一篇受到攻击时如何应对 下一篇如何禁用英特尔 ME?