Исследование исходного кода приложения позволяет получить максимальные результаты и наибольшее количество выявленных уязвимостей в сравнении с анализом готового приложения, однако занимает больше времени и более затратно. При анализе ПО в исходных кодах IncSecurity получает доступ к текстам анализируемых программ. Анализ осуществляется в два этапа. На первом этапе используются автоматизированные статические и динамические сканеры, позволяющие выявить наиболее частые и простые ошибки, допущенные при разработке. Набор используемых сканеров подбирается исходя из используемых технологий, полученных результатов. Все результаты работы сканеров тщательно анализируются, обрабатываются все найденные недостатки, исключаются ложные срабатывания, при наличии технической возможности проверяется эксплуатируемость найденных недостатков в готовом приложении (с демонстрацией результатов). Далее наступает основной этап – производится ручной поиск уязвимостей, которые не были обнаружены на этапе автоматизированного сканирования – эксперты компании детально анализируют код, в том числе с использованием утилит сторонней и собственной разработки. На этом этапе также анализируется архитектура приложения, взаимосвязи между модулями и т.п. Результаты использования всех найденных недостатков так же, при наличии технической возможности, демонстрируются на готовом приложении. Способ анализа приложения выбирается в зависимости от вида анализа, издержек и требований к безопасности. При анализе приложения в исходных кодах наиболее часто исследование происходит одним из способов: 1. Исходный код передаётся IncSecurity. Тексты программ в ходе анализа размещаются на выделенном сервере, не подключенном к сети, физический и логический доступ ограничены ответственными сотрудниками, задействованными в проекте. Тексты программ передаются доверенным способом на физическом носителе или с использованием стойкой криптографии по сети Интернет. В качестве защиты заказчика подписывается соглашение о конфиденциальности (NDA), могут быть включены соответствующие дополнительные пункты в договор, покрывающие юридические риски, требования использования определенных мер защиты и т.п. Способ выгодно отличается минимальными сроками, издержками (стоимостью), отсутствием проблем с использованием лицензируемого ПО для анализа. 2. Исходный код не передается IncSecurity, анализ происходит только на ресурсах заказчика без возможности подключения к ним сотрудников IncSecurity. Риски, которые несет заказчик, минимальные из возможных. Способ характеризуется удлиненными сроками, высокими издержками (стоимостью) ввиду наличия накладных расходов, связанных с командированием и нахождением в течение длительного времени сотрудников IncSecurity на территории заказчика, а также невозможности использования ряда ПО, которое позволяет автоматизировать часть исследования и сократить сроки работ. 3. Промежуточный вариант – исходный код не передается IncSecurity, однако помещается на сервер заказчика, к которому сотрудники IncSecurity имеют доступ либо удаленно (через шифрованный канал), либо локально, с возможностью подключения ноутбука с предустановленным ПО для анализа. Мерами защиты в данном случае могут служить: ограничение прав, максимально настроенное логирование, позволяющее идентифицировать все действия с исходным кодом, которые осуществляют сотрудники IncSecurity, возможность вывода на «второй монитор» для наблюдения сотрудником заказчика, возможность «сесть рядом» с проверяющим и очно наблюдать за его действиями при локальном анализе и пр. В случае удаленного доступа дополнительные издержки, влияющие на стоимость, минимальны и вместе со сроками приближены к способу, описанному в п.1. При локальном доступе сроки работ, описанные в п.2, могут быть сокращены.