Компании, чтобы сделать обзор кода crypto в ActiveRecord / веб-приложение Ruby on Rails? [закрытый]
Мы записали приложение Ruby on Rails, которое позволяет посетителю заполнять форму с персональными данными (имя, адрес и другие конфиденциальные детали), который хранится в базе данных, пока информация не может быть собрана пакетной обработкой, работающей в брандмауэре учреждения.
Чтобы препятствовать тому, чтобы взломщики получили эту конфиденциальную информацию в случае компромисса базы данных, мы изобрели механизм для того, чтобы автоматически зашифровать входное использование пользователя OpenPGP прежде, чем сохранить его в базе данных.
Где я могу найти компанию, которая оценит этот код и предоставит нам отчет, что мы будем в состоянии показать нашим клиентам? Они должны были бы быть знакомы и с криптографией и с ActiveRecord.
3 ответа
Если вы создаете приложение с помощью Mono в среде Windows с помощью Gtk # , оно должно быть запущено на всех платформах, так как оно не будет использовать библиотеки .NET, которые недоступны в среде Mono, и не будет использовать библиотеки Mono/Gtk #, которые не поддерживаются в Windows.
Если вы являетесь пользователем Visual Studio, ознакомьтесь с пакетом Mono Tools for VS.
-121--4407652-То, что вы говорите, верно, но на практике вы увидите очень большую проблему.
Когда вы импортируете проект поставщика в репозитарий подрывной системы (и предполагаете, что проект поставщика является большим, скажем, как apache httpd 2.2), вы обнаружите, что импорт svn невозможен:игнорировать свойства в каждом каталоге из-за того, что не существует какого-либо средства экспорта, которое может сделать это только с доступом к интерфейсу WebDAV (есть средство svn admin, которое может экспортировать svn props, но требует прямого доступа к репозиторию поставщика).
Поэтому при импорте проекта поставщика необходимо сначала экспортировать исходный файл из репозитория vendor svn, а после импорта файлов в svn вручную установить svn props для каждого каталога внутри проекта. Очень живописный метод, но является единственным, если вы действительно хотите изменить проект поставщика и идти в ногу с их изменениями.
-121--3127032-Мы делаем, www.comsecglobal.com или www.codefend.com.
Лучший, Шароне
Матасано - это хорошая исследовательская фирма по безопасности, а также магазин Ruby.
Есть ли определенная причина, по которой база данных уязвима в этом случае?
Если ваша база данных защищена брандмауэром, вы не накапливаете от шифрования данных.
Если механизм шифрования находится в той же системе, что и база данных, компромисс к коробке, вероятно, будет означать доступ к тому, что данные могут быть доступны независимо от.
Если механизм шифрования не находится в одной и той же системе, то вы находитесь в немного лучшей ситуации, но с этой архитектурой вы можете легко контролировать, кто имеет запись и прочитать доступ к базе данных довольно эффективно - ваша веб-приложение DB пользователь может Получить очень ограниченные разрешения на запись, и брандмауэр может управлять сетевым трафиком между приложением и БД. Связь между WebApp и безопасной базой данных могут быть Uni-Disional и через SSL.
Обновление
Улучшенная безопасность PostgreSQL может также стоить выглядеть:
Улучшенная безопасность PostgreSQL (SE-PostgreSQL) - это расширение PostgreSQL Relational База данных Система управления, основанная на безопасности Улучшенный безопасность Linux (SELINUX) Модель и политика.