Безопасность

zVirt 5.0 прошел grey-box тестирование Cicada8: ни одной уязвимости не найдено

Компания Orion soft, создающая инфраструктурное программное обеспечение для крупных предприятий, обнародовала итоги очередного этапа оценки безопасности своей платформы виртуализации zVirt. Версию zVirt 5.0 тестировали эксперты из Cicada8 в рамках регулярной проверки продуктов Orion soft. Эту информацию CNews получили от представителей Orion soft.

По результатам grey-box анализа в оговоренных границах системы специалисты Cicada8 не выявили уязвимостей в новом функционале zVirt 5.0 и в дополнительных сценариях тестирования. Данный итог демонстрирует не только качество проверенной версии продукта, но и уровень зрелости процесса безопасной разработки, который Orion soft планомерно улучшает совместно с внешними партнерами.

Формат grey-box подразумевает, что у тестирующей команды есть частичные сведения о системе, и они оценивают продукт с точки зрения авторизованного пользователя. Такой метод помогает оценить надежность ключевых защитных механизмов в условиях, приближенных к реальной эксплуатации, однако его следует трактовать строго в рамках выбранной методологии, заданного периметра и временных рамок.

В процессе работы эксперты Cicada8 проанализировали механизмы аутентификации и авторизации, управление сессиями, контроль доступа, API, обработку вводимых пользователем данных, клиентскую часть, конфигурацию и известные риски используемых компонентов. Особое внимание было уделено сценариям, способным привести к неавторизованному доступу, повышению привилегий, нарушению изоляции пользователей или некорректной обработке информации.

Проверка zVirt 5.0 является частью долгосрочного партнерства между Orion soft и Cicada8, о котором компании объявили в марте 2026 года. В рамках этого сотрудничества Cicada8 выполняет регулярные оценки защищенности продуктов Orion soft при выходе новых релизов и в виде повторных проверок, чтобы отслеживать динамику изменений и подтверждать качество исправления замечаний.

«Безопасность zVirt достигается благодаря современным практикам DevSecOps, систематическим проверкам и взаимодействию со специалистами в области информационной безопасности. Мы отслеживаем развитие продукта, применяем статический анализ кода, SCA-анализ компонентов, скрипты для безопасной настройки компонентов по стандартам CIS Benchmarks, участвуем в программе Standoff Bug Bounty и организуем регулярные внешние независимые пентесты. Такой подход помогает российским компаниям, применяющим zVirt, минимизировать киберриски в долгосрочной перспективе», — отметил Максим Березин, директор по развитию бизнеса Orion soft.

«Для нас значимость этого проекта не ограничивается единоразовой проверкой перед выпуском релиза. При регулярном анализе безопасности команда постепенно накапливает понимание контекста продукта, отслеживает изменения от версии к версии и может более тщательно оценивать не только отдельные типы уязвимостей, но и устойчивость архитектурных и процессных решений. По результатам текущего grey box-тестирования в согласованных границах уязвимости в новой функциональности zVirt 5.0 и дополнительных сценариях проверки не были обнаружены. Это убедительный результат, однако его корректно оценивать именно в контексте методики: надежная безопасность основывается на повторяемом процессе, внешнем аудите, повторном тестировании и готовности оперативно дорабатывать продукт на основе полученных данных», — отметил Алексей Хайдин, руководитель отдела анализа защищенности Cicada8.

Поделиться:

0 Комментариев

Оставить комментарий

Обязательные поля помечены *
Ваш комментарий *
Категории
Популярные новости