การตรวจสอบซอร์สโค้ด (Secure Code Review) แบบ White-box ของ MAYASEVEN เข้าถึงตัวโค้ดโดยตรง จึงไล่ที่มาของช่องโหว่ได้ถึงไฟล์และบรรทัดที่แท้จริง ไม่ใช่การคาดเดาจากพฤติกรรมภายนอกของระบบ เราผสาน SAST และ AI agent ของเราเอง (on-prem) ที่กวาดโค้ดทุกบรรทัดด้วยความเร็วระดับเครื่อง เข้ากับสัญชาตญาณของผู้เชี่ยวชาญที่ยืนยันว่าจุดใดคือช่องโหว่จริงที่ใช้โจมตีได้ ตัดเสียงรบกวนและ false positive ออกก่อนถึงมือทีมพัฒนาของคุณ
ครอบคลุม OWASP Top 10 และ ASVS เช่น SQL/NoSQL Injection, XSS, SSRF, Insecure Deserialization, XXE และ Path Traversal โดยไล่จากจุดรับข้อมูล (source) ไปยังจุดที่ข้อมูลถูกนำไปใช้ (sink) เพื่อยืนยันเส้นทางการโจมตีที่ใช้ได้จริง
จุดที่เครื่องมือสแกนอัตโนมัติมองไม่เห็น เช่น การข้ามขั้นตอนตรวจสอบสิทธิ์ การจัดการธุรกรรมและราคาที่ผิดพลาด หรือ race condition ผู้เชี่ยวชาญของเราอ่านเจตนาของโค้ดเพื่อหาจุดที่ทำงานผิดไปจากเงื่อนไขทางธุรกิจที่ควรเป็น
ตรวจ Authentication, Authorization, การจัดการ session และ token, broken access control รวมถึงการออกและตรวจสอบ JWT, OAuth และ API key ที่ไม่รัดกุม
Hardcoded credentials, API key และ secret ที่ฝังอยู่ในโค้ดหรือไฟล์ config, การเข้ารหัสที่อ่อนแอ และการตั้งค่าความปลอดภัยที่ผิดพลาดในเฟรมเวิร์ก (framework misconfiguration)
ตรวจไลบรารีและ third-party component ที่มีช่องโหว่ที่รู้จัก (CVE) รวมถึงความเสี่ยงจาก dependency ที่ล้าสมัย เพื่อปิดช่องทางโจมตีผ่านห่วงโซ่อุปทานซอฟต์แวร์
การตรวจสอบซอร์สโค้ดคือจุดที่โมเดล "human instinct, machine speed" ให้ผลชัดเจนที่สุด เพราะโค้ดเบสขนาดใหญ่มักมีตั้งแต่หลายแสนจนถึงหลายล้านบรรทัด เกินกว่าที่มนุษย์จะอ่านได้ครบในเวลาจำกัด AI agent ของเราเอง (on-prem) จึงทำหน้าที่กวาดทุกไฟล์ ไล่ data flow จาก source ถึง sink และจัดกลุ่มจุดต้องสงสัยด้วยความเร็วระดับเครื่อง ครอบคลุมทั่วทั้งโค้ดเบสภายในเวลาไม่กี่นาที จากนั้นผู้เชี่ยวชาญของเราใช้สัญชาตญาณตัดสินว่าจุดใดคือช่องโหว่ที่ใช้โจมตีได้จริง ตัด false positive ที่เครื่องมือ SAST ทั่วไปสร้างไว้จำนวนมาก และทำในสิ่งที่เครื่องมืออัตโนมัติทำแทนไม่ได้ นั่นคือการเชื่อมโยงช่องโหว่เชิงตรรกะทางธุรกิจหลายจุดเข้าด้วยกันเพื่อพิสูจน์ผลกระทบที่เกิดขึ้นจริง และที่สำคัญ ซอร์สโค้ดของคุณไม่เคยออกนอกเครือข่ายของเรา เพราะเราสร้าง local LLM และ pentest agent ของเราเอง จึงไม่มีการส่งโค้ดของคุณไปยังโมเดลคลาวด์ของบุคคลที่สามใด ๆ
Pentest เป็นการทดสอบแบบ Black-box จากภายนอก มองเห็นเฉพาะสิ่งที่ระบบเปิดเผยออกมา ส่วนการตรวจสอบซอร์สโค้ดเป็นแบบ White-box ที่เข้าถึงตัวโค้ดโดยตรง จึงไล่ช่องโหว่ได้ถึงบรรทัดและพบจุดที่การทดสอบจากภายนอกมองไม่เห็น เช่น hardcoded secret หรือ business-logic flaw ในเส้นทางที่ไม่ค่อยถูกเรียกใช้ องค์กรส่วนใหญ่ใช้ทั้งสองวิธีร่วมกันเพื่อความครอบคลุมสูงสุด
ระยะเวลาขึ้นอยู่กับขนาดโค้ดเบส จำนวนภาษาและเฟรมเวิร์กที่ใช้ รวมถึงความซับซ้อนของตรรกะทางธุรกิจ โดยทั่วไปแอปพลิเคชันขนาดกลางใช้เวลาประมาณ 1-3 สัปดาห์ สิ่งที่ต้องเตรียมคือสิทธิ์เข้าถึง repository, เอกสารสถาปัตยกรรมหากมี และข้อมูลเฟรมเวิร์ก/เทคโนโลยีที่ใช้ เราจะกำหนดขอบเขตและระยะเวลาที่แม่นยำหลังประเมินโค้ดเบสร่วมกับคุณ
ทุกช่องโหว่มาพร้อมตำแหน่งไฟล์และบรรทัดที่แน่นอน คะแนนความรุนแรงตาม CVSS, proof-of-concept หรือเส้นทางการโจมตีที่พิสูจน์ได้, ผลกระทบทางธุรกิจ และแนวทางแก้ไขที่จัดลำดับความสำคัญพร้อมตัวอย่างโค้ดที่ปลอดภัย ทุกผลตรวจผ่านการยืนยันโดยผู้เชี่ยวชาญที่มีชื่อรับผิดชอบ ไม่ใช่ผลดิบจากเครื่องมือ จึงช่วยลดภาระทีมพัฒนาในการคัดกรอง false positive
ปลอดภัย ข้อมูลและซอร์สโค้ดของลูกค้าไม่เคยออกนอกเครือข่ายของเรา เพราะเราสร้าง local LLM และ pentest agent ของเราเองแบบ on-prem จึงไม่มีการส่งโค้ดไปยังโมเดลคลาวด์ของบุคคลที่สาม เราดำเนินงานภายใต้มาตรฐาน ISO/IEC 27001:2022 และ ISO 9001:2015 พร้อมลงนาม NDA ก่อนเริ่มงาน นอกจากนี้เรายังผนวกการตรวจเข้ากับ pipeline CI/CD ตามแนวทาง shift-left ได้ เพื่อปิดช่องโหว่ตั้งแต่ต้นทางก่อนโค้ดจะ merge ขึ้น production
คุยกับทีม MAYASEVEN เพื่อกำหนดขอบเขตและรับใบเสนอราคา — ผู้เชี่ยวชาญตอบกลับภายใน 1 วันทำการ