Компании, чтобы сделать обзор кода крипто в ActiveRecord/Ruby on Rails webapp?

Мы написали приложение Ruby on Rails, которое позволяет посетителю заполнить форму с личными данными (имя, адрес и другие конфиденциальные данные), которые хранятся в базе данных до тех пор, пока информация не будет собрана при запуске пакетного процесса внутри брандмауэра.

Чтобы злоумышленники не получали эту конфиденциальную информацию в случае компрометации базы данных, мы разработали механизм автоматического шифрования ввода пользователя с помощью OpenPGP перед его сохранением в базе данных.

Где я могу найти компанию, которая оценит этот код и предоставит нам отчет, который мы сможем показать нашим клиентам? Они должны быть знакомы как с криптографией, так и с ActiveRecord.

Ответ 1

Мы делаем, www.comsecglobal.com или www.codefend.com.

Бест, Sharone

Ответ 2

Matasano - хорошая исследовательская фирма по безопасности, и они являются магазином Ruby.

Ответ 3

Есть ли конкретная причина, почему база данных уязвима в этом случае?

Если ваша база данных защищена брандмауэром, вы не получаете многого от шифрования данных.

Если механизм шифрования находится в той же системе, что и база данных, компрометация этого поля, вероятно, будет означать, что данные могут быть доступны независимо.

Если механизм шифрования не находится в одной системе, то вы находитесь в немного лучшей ситуации, но с этой архитектурой вы можете легко контролировать, кто имеет доступ к записи и чтению в базу данных довольно эффективно - пользователь вашего веб-приложения db может получить очень ограниченные права на запись, а брандмауэр может контролировать сетевой трафик между приложением и db. Связь между webapp и защищенной базой данных может быть однонаправленной и над SSL.

Обновление

Улучшение безопасности PostgreSQL также может быть полезно:

Улучшенная безопасность PostgreSQL (SE-PostgreSQL) является расширением Реляционная база данных PostgreSQL системы управления, основанной на безопасности Улучшенная безопасность Linux (SELinux) модели и политики.