Виртуализация zVirt 5.0 показала отсутствие уязвимостей по результатам очередного этапа grey-box тестирования CICADA8

от автора

Orion soft представил результаты очередного этапа анализа защищенности платформы виртуализации zVirt. Проверку версии zVirt 5.0 проводили специалисты CICADA8 в рамках программы регулярного тестирования продуктов Orion soft.

По итогам grey-box тестирования в согласованном периметре специалисты CICADA8 не подтвердили наличие уязвимостей в новой функциональности zVirt 5.0 и дополнительных сценариях проверки. Такой результат отражает не только состояние проверенной версии продукта, но и зрелость процесса безопасной разработки, который Orion soft последовательно развивает совместно с внешними экспертами.

Формат grey-box предполагает, что команда тестирования обладает ограниченной информацией о системе и проверяет продукт с позиции авторизованного пользователя. Такой подход позволяет оценить устойчивость ключевых механизмов безопасности в реалистичных условиях эксплуатации, но корректно интерпретировать его именно в рамках выбранной методики, периметра и временных ограничений.

В ходе работ специалисты CICADA8 проверили механизмы аутентификации и авторизации, управление сессиями, контроль доступа, API, обработку пользовательского ввода, клиентскую часть, конфигурацию и известные риски используемых компонентов. Отдельное внимание уделялось сценариям, которые могут приводить к несанкционированному доступу, повышению привилегий, нарушению изоляции пользователей или некорректной обработке данных.

Проверка zVirt 5.0 продолжает долгосрочное сотрудничество Orion soft и CICADA8, о котором компании объявили в марте 2026 года. В рамках этого взаимодействия CICADA8 проводит регулярный анализ защищенности продуктов Orion soft по мере выхода релизов и в формате повторных проверок, чтобы оценивать динамику изменений и подтверждать качество устранения замечаний.

«Защищенность zVirt обеспечивается за счет современных практик DevSecOps, регулярных проверок и взаимодействия с экспертами рынка информационной безопасности. Мы контролируем развитие продукта, используем статический анализ кода, SCA-анализ компонентов, скрипты безопасной конфигурации компонентов в соответствии с лучшими практиками CIS Benchmarks, участвуем в программе Standoff Bug Bounty и проводим регулярные внешние независимые пентесты. Такой подход позволяет российским компаниям, использующим zVirt, снижать киберриски в стратегической перспективе», — рассказал Максим Березин, директор по развитию бизнеса Orion soft.

«Для нас ценность такого проекта не сводится к разовой проверке перед публикацией релиза. В регулярном анализе защищенности команда постепенно накапливает контекст продукта, видит изменения от версии к версии и может точнее проверять не только отдельные классы уязвимостей, но и устойчивость архитектурных и процессных решений. По итогам текущего grey box-тестирования в согласованном периметре уязвимости в новой функциональности zVirt 5.0 и дополнительных сценариях проверки не были подтверждены. Это сильный результат, но корректно рассматривать его именно в рамках методики: хорошая безопасность держится на повторяемом процессе, внешней проверке, ретесте и готовности быстро дорабатывать продукт по результатам анализа», — добавил Алексей Хайдин, руководитель отдела анализа защищенности CICADA8.

ссылка на оригинал статьи https://habr.com/ru/articles/1056442/